زمان به روز رسانی: آسیب پذیری RDP Bluekeep به طور فعال مورد سوء استفاده قرار می گیرد

حملات اجرای کد از راه دور در حال حاضر بر سیستم عامل های پشتیبانی نشده مایکروسافت تأثیر می گذارد.

کد بهره برداری BlueKeep (CVE-2019-0708) یک آسیب پذیری امنیتی است که در پروتکل Remote Desktop مایکروسافت کشف شده است که امکان اجرای کد از راه دور را فراهم می کند.

مایکروسافت گزارش داد که کد سوء استفاده در حال حاضر "به طور گسترده" برای استفاده توسط مهاجمان، که نسخه های قدیمی تر سیستم عامل را هدف قرار می دهند، در دسترس است.

(مهاجمین می توانند به تمام اطلاعات کاربری استفاده شده در سیستم RDP دسترسی داشته باشند).

ویندوز 7، ویندوز سرور 2008 و 2008 R2، ویندوز سرور 2003 و قدیمی تر، ویندوز XP پشتیبانی نشده در معرض خطر حمله قرار دارند.

براساس BitSight، تعداد سیستم های آسیب پذیر از 805,665 در اواخر ماه مه به 788,214 در اواخر جولای افزایش یافت. به این معنی که 81 درصد از سیستم ها هنوز اصلاح نشده باقی می مانند.

به کاربران سرویس‌های دسک‌تاپ از راه دور توصیه می‌شود که وصله‌ای را که در ماه مه منتشر شده است، اعمال کنند و همچنین از «شنونده» پروتکل دسک‌تاپ از راه دور سیستم محافظت کنند.

امروز، مایکروسافت دو آسیب‌پذیری جدید مانند Bluekeep را معرفی کرد که آن‌ها را اصلاح کرده است. CVE-2019-1181 و CVE-2019-118. برخلاف آسیب‌پذیری قبلی، این نقص روی ویندوز 10 نیز تأثیر می‌گذارد.  سیمون پوپمدیر پاسخگویی به حوادث در مرکز پاسخگویی امنیتی مایکروسافت (MSRC) گفت:

نسخه های تحت تأثیر ویندوز عبارتند از: Windows 7 SP1، Windows Server 2008 R2 SP1، Windows Server 2012، Windows 8.1، Windows Server 2012 R2، و تمامی نسخه های پشتیبانی شده ویندوز 10، از جمله نسخه های سرور.

سازمان‌ها باید احراز هویت در سطح شبکه (NLA) را فعال کنند تا مهاجمانی را که فاقد اعتبار احراز هویت هستند مسدود کنند. اما با توجه به اطلاعات "دورسنجی"، در اکثر موارد فاقد آن است.

(وجود دارد) بیش از 400,000 نقطه پایانی (بدون) هیچ گونه احراز هویت در سطح شبکه.

همچنین می‌خواهید احراز هویت سطح شبکه (NLA) را فعال کنید، که کاهشی برای جلوگیری از دسترسی احراز هویت نشده به تونل RDP است. NLA کاربران را مجبور می کند تا قبل از اتصال به سیستم های راه دور احراز هویت کنند، که به طور چشمگیری شانس موفقیت کرم های مبتنی بر RDP را کاهش می دهد. تیم DART اکیداً توصیه می‌کند که NLA را بدون در نظر گرفتن این وصله فعال کنید، زیرا بسیاری از حملات دیگر علیه RDP را کاهش می‌دهد.

اگر هنوز از ویندوز 7 استفاده می کنید، نصب به روز رسانی موجود ضروری است. بدافزار کنونی تنها مزه آنچه را که بعد از اینکه ویندوز 7 دیگر پشتیبانی نمی‌شود می‌آید، و مایکروسافت دیگر وصله‌هایی را برای این سیستم عامل پرکاربرد ارائه نمی‌کند. بنابراین، بهترین وصله ارتقاء به ویندوز 10 است که به طور مداوم پشتیبانی می شود.

منبع: rcpmag، از طریق: zdnet