در هفتههای اخیر، مایکروسافت برای از بین بردن خطر Exploitهایی که از آسیبپذیری CVE-2019-0708، که BlueKeep هم خوانده میشود و نوعی نقص اجرایی Remote code در RDP است، راهحلهای امنیتی و توصیههای برای رفع خطر ارائه نموده است. آسیبپذیریای که مرکز امنیت ملی سایبری انگلستان NCSC گزارش داده است، احتمال دارد وسیلهای برای حمله باشد که میتواند از نظر اندازه و تاثیرگذاری با 2017 WannaCry Onslaught برابری کند.
تازهترین نتیجهی بررسیهای دقیق رابرت گراهام، رئیس شرکت تحقیقاتی امنیت تهاجمیِ Errata Security، نشان میدهد که هنوز حدود یک میلیون سیستم آسیبپذیر وجود دارد و این آمار منحصرا مربوط به سیستمهایی است که از اینترنت عمومی قابل دسترسی هستند. اگر سیستمهای درون سازمانها را هم محاسبه کنیم، تعداد آنها بسیار بیشتر خواهد شد.
وضعیت فعلیِ انتشار آلودگی
خوشبختانه مهاجمها هنوز نتوانستهاند Exploitهایی قابل استفاده بسازند و آنها را بهکار ببرند. از آنجا که مایکروسافت هیچ جزئیات فنیای دربارهی آسیبپذیری منتشر نکرده است، هم برای محققان امنیتی و هم مهاجمان تنها یک راه میماند، مهندسی معکوس Patch مایکروسافت برای پیدا کردن جزء آسیبپذیر. با این که شرکتهای امنیتی بسیاری از آن زمان اقدام به ساختن Exploit کردهاند، هنوز آن را با مجامع بزرگتر به اشتراک نگذاشتهاند. با این حال تعدادی از کلاهبرداران فرصت پوشش گستردهی رسانهای و علاقهمندی افزایشیافتهی آن را غنیمت شمرده و اقدام به فروختن Exploitهای جعلی کردهاند.
در این میان، عرضهکنندگان IDS/IPS روی Signatureی کاریردی کار کردند که بتواند نمونههای Exploit کردن را شناسایی کند. راهکار 0patch یک Micropatch برای کامپیوترهایی که به هر دلیل نمیتوانند آپدیت مایکروسافت را اجرایی کنند یا ریاستارت نمیشوند، ارائه کرده است همچنین شرکت Check Point، راه حل Endpoint Protection آنها را به یک سیستم دفاعی در مقابل Exploitهایی که آسیبپذیری را هدف قرار دادهاند، مجهز کرده است.
همچنین افراد مختلف برای شناسایی سیستمهای آسیبپذیر در حال بررسی اینترنت بودهاند. بخشی از این بررسیها را محققین انجام دادهاند اما بهنظر میرسد بعضی دیگر بخشی از تلاش اکتشافی مهاجمین احتمالی باشد. شرکت امنیت سایبری GreyNoise از طریق چندین Host در سرتاسر اینترنت در حال اجرای تستهای گسترده برای سیستمهای آسیبپذیر نسبت به (RDP «BlueKeep» (CVE-2019-0708 است. این عمل صرفا از Nodeهای خروج نرمافزار Tor مشاهده شده است و احتمالا توسط یک عامل واحد انجام میشود.
راهحل مقابله با آسیب پذیری BlueKeep برای سازمانها و کاربران
CVE-2019-0708 روی همهی ویندوزها و سرورهای ویندوزها، بهجز ویندوزهای 8 و 10، تاثیرگذار است. مایکروسافت برای همهی آنها، حتی آن دسته که دیگر پشتیبانی نمیشوند Windows XP، Windows Vista و Windows Server 2003 Patchهایی فراهم کرده است. توصیهی کلی به کاربران اِعمال بروزرسانیهای امنیتی است. از سازمانها هم خواسته شده که همین کار را بکنند اما ممکن است در اجرای این رویکرد با محدودیتهایی رو به رو شوند. راهکارهای جلوگیری از خطر برای آنها شامل موارد زیر است:
- غیرفعال کردن سرویسهای RDP درصورتی که مورد نیاز نباشند.
- مسدود کردن پورت 3389 در فایروال edge سازمان یا پیکربندی RDP بهشیوهای که تنها از طریق یک VPN یا دستگاههای موجود در شبکه قابل دسترسی باشد.
- به کار بردن Signatureهای IDS/IPS برای شناسایی اکسپلویت که به دلیل رمزنگاری ترافیک اثر قابل توجهی ندارد.
- فعالسازیِ Network Level Authentication یا به اختصار NLA که در صورت داشتن اطلاعات اعتباری صحیح قابل استفاده است.
گراهام اشاره کرد: «برای سازمانهای بزرگت، باید مشکل psexec که اجازه میدهد چنین مواردی از طریق شبکه یک کاربر معمولی منتشر شود، برطرف گردد به این دلیل که ممکن است فقط یک دستگاه WinXP آسیبپذیر وجود داشته باشد و مهم نباشد که به باجافزارها آلوده شود. اما احتمال دارد یکDomain Admin به آن سیستم وارد شده باشد، در نتیجه وقتی Worm وارد سیستم میشود با استفاده از آن اطلاعات اعتباری وارد Domain Controller میگردد. بعد از Domain Controller یک نسخه از خودش را به همهی دسکتاپها و سرورهای سازمان میفرستد و بهجای استفاده از آسیبپذیری از آن اطلاعات اعتباری بهره میبرند.»
یافتن سیستمهای آلوده
سازمانها برای تشخیص سیستمهای آلوده، ابزارهایی را در اختیار دارند؛ از جمله موارد ذیل که به آن اشاره میگردد:
- ابزار rdpscan گراهام، که برای اسکن شبکههای کوچک مناسب است.
- شان دیلن Sean Dillon، پژوهشگر ارشد امنیتِ شرکت RiskSense به همراه یک محقق دیگر به نام JaGoTu، اسکنری ساختهاند که به یک افزونهی Metasploit تبدیل شده است.
- کمپانی Tenable نیز مجموعهای افزونه را برای شناسایی وجود CVE-2019-0708 و یک بررسی Uncredentialed را برای فعالسازی امکان شناسایی نقص Wormable برای مشتریها، عرضه کرده است.