آیا شاهد حمله ای به مراتب خطرناک‌تر و فراگیرتر از باج‌افزار wannacry خواهیم بود ؟

پس از انتشار آسیب پذیری مربوط به سرویس RDP ویندوز تحت عنوان bluekeep، نزدیک به یک میلیون سیستم ویندوزی همچنان به روز رسانی نشده و آسیب پذیر به حمله از نوع اجرای دستور از راه دور (remote code execution) می‌باشند. این آسیب پذیری در سرویس RDP‌ ویندوز موجود بوده و از نوع wormable (نوعی آسیب‌پذیری که به بدافزار این امکان را می‌دهد در سطح اینترنت پخش شده و بر روی سیستم‌های آسیب‌پذیر دیگر اجرا شود) می‌باشد. شدت این آسیب‌پذیری به قدری است که مایکروسافت حتی برای سیستم عامل‌هایی همچون windows XP وصله امنیتی منتشر کرده است با اینکه پشتیبانی و به روزرسانی شان رسما توسط مایکروسافت قطع شده اند.

در صورتی که برای این آسیب پذیری exploit نوشته شود به نفوذ گر این امکان را می‌دهد که بد افزار خود را در سطح اینترنت منتشر کند. همانند اتفاقی که در سال ۲۰۱۷ توسط باج افزار معروف wannacry رخ داد.

سیستم عامل هایی که آسیب پذیر هستند:

Windows 2003, 7, XP

Windows server 2008, 2008 R2

این آسیب پذیری به حمله‌کننده این امکان را می دهد با استفاده از یک درخواست ساخته شده مخرب برای سرویس RDP و بدون این که نیازی به انجام عملی از طرف کاربر قربانی باشد، بر روی سیستم قربانی کد مخرب خود را اجرا کند.

آخرین پویشی که توسط آقای رابرت گراهام مدیر شرکت تحقیقاتی امنیتی Errata Security در سطح اینترنت انجام شد نشان از این دارد که نزدیک به ۷ میلیون سیستم ویندوزی در سرتاسر اینترنت شماره پورت ۳۳۸۹ شان باز بوده که مربوط به سرویس RDP می باشد. از این ۷ میلیون حدود ۹۵۰۰۰۰ سیستم آسیب پذیر می باشند(حدود ۱۳٪)! این بدین معنی است که در صورتی که exploit برای این آسیب پذیری توسط نویسندگان بدافزار ها نوشته شود می توانند تمام این ۱ میلیون سیستم آسیب پذیر را هدف قرار داده و حمله ای به مراتب وسیع تر و خطرناک تر از حمله wannacry را انجام دهند که تنها ۱۵۰۰۰۰ سیستم را آلوده کرده بود.

نه تنها محققان امنیتی بلکه هکر ها و مجرم های سایبری نیز شروع به پویش اینترنت برای یافتن سیستم های آسیب پذیر کرده‌اند و اکثر این پویش آسیب پذیری از شبکه تور نشأت می گیرند. خوشبختانه تا بحال هیچ تیم امنیتی exploit اثبات مفهوم (proof of concept)  مربوط به این آسیب پذیری را منشتر نکرده است. گرچه تعدادی معدودی از آن‌ها اثبات کرده اند که exploit مربوط به این آسیب پذیری را نوشته اند.

برای رفع این آسیب پذیری کافی است سیستم های ویندوزی ذکر شده را به آخرین نسخه موجود ارتقا دهید. در صورتی که به هر نحوی امکان به روز رسانی به آخرین نسخه ها را ندارید اقدامات زیر را انجام دهید.

۱) در صورت عدم نیاز به سرویس RDP آن را غیر فعال نمایید.

۲) پورت ۳۳۸۹ را توسط دیواره آتش بلاک کرده و تنها از طریق سرویس vpn خصوصی امکان دسترسی به آن را فراهم کنید

۳) تصدیق اصالت لایه شبکه  (network Level Authentication) را برای جلوگیری از دسترسی نفوذگر به سیستم قربانی فعال نمایید

 

منبع:

https://thehackernews.com/2019/05/bluekeep-rdp-vulnerability.html



پاسخ دهید