اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

آسیب پذیری بیش‌ از یک میلیون سیستم‌ به BlueKeep RDP

امکان آسیب پذیری بیش‌ از یک میلیون سیستم‌ به BlueKeep RDP

در هفته‌های اخیر، مایکروسافت برای از بین بردن خطر Exploitهایی که از آسیب‌پذیری CVE-2019-0708، که BlueKeep  هم خوانده می‌شود و نوعی نقص اجرایی Remote code در RDP است، راه‌حل‌های امنیتی و توصیه‌های برای رفع خطر ارائه نموده است. آسیب‌پذیری‌ای که مرکز امنیت ملی سایبری انگلستان NCSC گزارش داده است، احتمال دارد وسیله‌ای برای حمله باشد که می‌تواند از نظر اندازه و تاثیرگذاری با 2017 WannaCry Onslaught برابری کند.

تازه‌ترین نتیجه‌ی بررسی‌های دقیق رابرت گراهام، رئیس شرکت تحقیقاتی امنیت تهاجمیِ Errata Security، نشان می‌دهد که هنوز حدود یک میلیون سیستم آسیب‌پذیر وجود دارد و این آمار منحصرا مربوط به سیستم‌هایی است که از اینترنت عمومی قابل دسترسی هستند. اگر سیستم‌های درون سازمان‌ها را هم محاسبه کنیم، تعداد آن‌ها بسیار بیشتر خواهد شد.

وضعیت فعلیِ انتشار آلودگی

خوشبختانه مهاجم‌ها هنوز نتوانسته‌اند Exploitهایی قابل‌ استفاده بسازند و آن‌ها را به‌کار ببرند. از آنجا که مایکروسافت هیچ جزئیات فنی‌ای درباره‌ی آسیب‌پذیری منتشر نکرده است، هم برای محققان امنیتی و هم مهاجمان تنها یک راه می‌ماند، مهندسی معکوس Patch مایکروسافت برای پیدا کردن جزء آسیب‌پذیر. با این که شرکت‌های امنیتی بسیاری از آن زمان اقدام به ساختن Exploit کرده‌اند، هنوز آن را با مجامع بزرگتر به اشتراک نگذاشته‌اند. با این حال تعدادی از کلاهبرداران فرصت پوشش گسترده‌ی رسانه‌‌ای و علاقه‌مندی افزایش‌یافته‌ی آن را غنیمت شمرده و اقدام به فروختن Exploitهای جعلی کرده‌اند.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

در این میان، عرضه‌کنندگان IDS/IPS روی Signatureی کاریردی کار کردند که بتواند نمونه‌های Exploit کردن را شناسایی کند. راهکار 0patch یک Micropatch برای کامپیوترهایی که به هر دلیل نمی‌توانند آپدیت مایکروسافت را اجرایی کنند یا ری‌استارت نمی‌شوند، ارائه کرده است همچنین  شرکت Check Point، راه حل Endpoint Protection آن‌ها را به یک سیستم دفاعی‌ در مقابل Exploitهایی که آسیب‌پذیری را هدف قرار داده‌اند، مجهز کرده است.

همچنین افراد مختلف برای شناسایی سیستم‌های آسیب‌پذیر در حال بررسی اینترنت بوده‌اند. بخشی از این بررسی‌ها را محققین انجام داده‌اند اما به‌نظر می‌رسد بعضی دیگر بخشی از تلاش اکتشافی مهاجمین احتمالی باشد. شرکت امنیت سایبری GreyNoise از طریق چندین Host در سرتاسر اینترنت در حال اجرای تست‌های گسترده برای سیستم‌های آسیب‌پذیر نسبت به (RDP  «BlueKeep» (CVE-2019-0708 است. این عمل صرفا از Nodeهای خروج نرم‌افزار Tor مشاهده شده است و احتمالا توسط یک عامل واحد انجام می‌شود.

راه‌حل مقابله با آسیب پذیری BlueKeep برای سازمان‌ها و کاربران

CVE-2019-0708 روی همه‌ی ویندوزها و سرورهای ویندوزها، به‌جز ویندوزهای 8 و 10، تاثیرگذار است. مایکروسافت برای همه‌ی آن‌ها، حتی آن دسته که دیگر پشتیبانی نمی‌شوند Windows XP، Windows Vista و Windows Server 2003 Patch‌هایی فراهم کرده است. توصیه‌ی کلی به کاربران  اِعمال بروزرسانی‌های امنیتی است. از سازمان‌ها هم خواسته شده که همین کار را بکنند اما ممکن است در اجرای این رویکرد با محدودیت‌هایی رو به رو شوند. راهکارهای جلوگیری از خطر برای آن‌ها شامل موارد زیر است:

  • غیرفعال کردن سرویس‌های RDP درصورتی که مورد نیاز نباشند.
  • مسدود کردن پورت 3389 در فایروال edge سازمان یا پیکربندی RDP به‌شیوه‌ای که تنها از طریق یک VPN یا دستگاه‌های موجود در شبکه قابل دسترسی باشد.
  • به‌ کار بردن Signatureهای IDS/IPS برای شناسایی اکسپلویت که به دلیل رمزنگاری ترافیک اثر قابل توجهی ندارد.
  • فعال‌سازیِ Network Level Authentication یا به اختصار NLA که در صورت داشتن اطلاعات اعتباری صحیح قابل استفاده است.

گراهام اشاره کرد: «برای سازمان‌های بزرگت، باید مشکل psexec که اجازه می‌دهد چنین مواردی از طریق شبکه یک کاربر معمولی منتشر شود، برطرف گردد به این دلیل که ممکن است فقط یک دستگاه WinXP آسیب‌پذیر وجود داشته باشد و مهم نباشد که به باج‌افزارها آلوده شود. اما احتمال دارد یکDomain Admin  به آن سیستم وارد شده باشد، در نتیجه وقتی Worm وارد سیستم می‌شود با استفاده از آن اطلاعات اعتباری وارد Domain Controller می‌گردد. بعد از Domain Controller یک نسخه از خودش را به همه‌ی دسکتاپ‌ها و سرورهای سازمان می‌فرستد و به‌جای استفاده از آسیب‌پذیری از آن اطلاعات اعتباری بهره می‌برند.»

یافتن سیستم‌های آلوده

سازمان‌ها برای تشخیص سیستم‌های آلوده، ابزارهایی را در اختیار دارند؛ از جمله موارد ذیل که به آن اشاره می‌گردد:

  • ابزار rdpscan گراهام، که برای اسکن شبکه‌های کوچک مناسب است.
  • شان دیلن Sean Dillon، پژوهشگر ارشد امنیتِ شرکت RiskSense به همراه یک محقق دیگر به نام JaGoTu، اسکنری ساخته‌اند که به یک افزونه‌ی Metasploit تبدیل شده است.
  • کمپانی Tenable نیز مجموعه‌ای افزونه را برای شناسایی وجود CVE-2019-0708 و یک بررسی Uncredentialed را برای فعال‌سازی امکان شناسایی نقص Wormable برای مشتری‌ها، عرضه کرده است.