زمان به روز رسانی: آسیب پذیری RDP Bluekeep به طور فعال مورد سوء استفاده قرار می گیرد
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
حملات اجرای کد از راه دور در حال حاضر بر سیستم عامل های پشتیبانی نشده مایکروسافت تأثیر می گذارد.
کد بهره برداری BlueKeep (CVE-2019-0708) یک آسیب پذیری امنیتی است که در پروتکل Remote Desktop مایکروسافت کشف شده است که امکان اجرای کد از راه دور را فراهم می کند.
مایکروسافت گزارش داد که کد سوء استفاده در حال حاضر "به طور گسترده" برای استفاده توسط مهاجمان، که نسخه های قدیمی تر سیستم عامل را هدف قرار می دهند، در دسترس است.
(مهاجمین می توانند به تمام اطلاعات کاربری استفاده شده در سیستم RDP دسترسی داشته باشند).
ویندوز 7، ویندوز سرور 2008 و 2008 R2، ویندوز سرور 2003 و قدیمی تر، ویندوز XP پشتیبانی نشده در معرض خطر حمله قرار دارند.
براساس BitSight، تعداد سیستم های آسیب پذیر از 805,665 در اواخر ماه مه به 788,214 در اواخر جولای افزایش یافت. به این معنی که 81 درصد از سیستم ها هنوز اصلاح نشده باقی می مانند.
به کاربران سرویسهای دسکتاپ از راه دور توصیه میشود که وصلهای را که در ماه مه منتشر شده است، اعمال کنند و همچنین از «شنونده» پروتکل دسکتاپ از راه دور سیستم محافظت کنند.
امروز، مایکروسافت دو آسیبپذیری جدید مانند Bluekeep را معرفی کرد که آنها را اصلاح کرده است. CVE-2019-1181 و CVE-2019-118. برخلاف آسیبپذیری قبلی، این نقص روی ویندوز 10 نیز تأثیر میگذارد. سیمون پوپمدیر پاسخگویی به حوادث در مرکز پاسخگویی امنیتی مایکروسافت (MSRC) گفت:
نسخه های تحت تأثیر ویندوز عبارتند از: Windows 7 SP1، Windows Server 2008 R2 SP1، Windows Server 2012، Windows 8.1، Windows Server 2012 R2، و تمامی نسخه های پشتیبانی شده ویندوز 10، از جمله نسخه های سرور.
سازمانها باید احراز هویت در سطح شبکه (NLA) را فعال کنند تا مهاجمانی را که فاقد اعتبار احراز هویت هستند مسدود کنند. اما با توجه به اطلاعات "دورسنجی"، در اکثر موارد فاقد آن است.
(وجود دارد) بیش از 400,000 نقطه پایانی (بدون) هیچ گونه احراز هویت در سطح شبکه.
همچنین میخواهید احراز هویت سطح شبکه (NLA) را فعال کنید، که کاهشی برای جلوگیری از دسترسی احراز هویت نشده به تونل RDP است. NLA کاربران را مجبور می کند تا قبل از اتصال به سیستم های راه دور احراز هویت کنند، که به طور چشمگیری شانس موفقیت کرم های مبتنی بر RDP را کاهش می دهد. تیم DART اکیداً توصیه میکند که NLA را بدون در نظر گرفتن این وصله فعال کنید، زیرا بسیاری از حملات دیگر علیه RDP را کاهش میدهد.
اگر هنوز از ویندوز 7 استفاده می کنید، نصب به روز رسانی موجود ضروری است. بدافزار کنونی تنها مزه آنچه را که بعد از اینکه ویندوز 7 دیگر پشتیبانی نمیشود میآید، و مایکروسافت دیگر وصلههایی را برای این سیستم عامل پرکاربرد ارائه نمیکند. بنابراین، بهترین وصله ارتقاء به ویندوز 10 است که به طور مداوم پشتیبانی می شود.