یک آسیب پذیری حیاتی در پروتکل ارائه دهنده ی پشتیبانی امنیتی گواهی نامه ها (CredSSP) کشف شده که تمامی نسخه های ویندوز را تحت تاثیر قرار داده است و به مهاجم اجازه می دهد از راه دور از پروتکل RDP و WinRM برای سرقت داده ها و اجرای کدهای مخرب بهره برداری کند.
پروتکل CredSSP برای استفاده توسط پروتکل RDP و مدیریت از راه دور ویندوز (WinRM) طراحی شده است که گواهی نامه های ارسالی از سمت کلاینت به سرور را به منظور احراز هویت، رمزنگاری کرده و ارسال می کند. به این آسیبپذیری شناسهی CVE-2018-0886 اختصاص داده شده و یک اشکال منطقی رمزنگاری در CredSSP است و به مهاجم اجازهی اجرای حملهی مرد میانی را میدهد. مهاجم همچنین میتواند با استفاده از وایفای یا دسترسی فیزیکی به شبکهی داخلی، اطلاعات احراز هویت در نشست مورد نظر را به سرقت برده و حملهی فراخوانی رویه از راه دور را اجرایی کند.
وقتی یک کلاینت و سرور با استفاده از RDP و WinRM عملیات احراز هویت را انجام میدهند، یک مهاجم در میانه میتواند دستوراتی را از راه دور اجرا کرده و شبکهی سازمان را آلوده کند. به دلیل اینکه RDP پروتکل محبوبی برای ورود به سیستمها از راه دور میباشد، در حال حاضر تعداد زیادی از سازمانها تحت تاثیر این آسیبپذیری حیاتی قرار گرفتهاند.
به کاربران و سازمانها توصیه میشود برای جلوگیری از بهرهبرداری CredSSP، هرچه سریعتر سیستمها و سرورهای خود را با بهروزرسانیهایی که شرکت مایکروسافت منتشر کرده است وصله کنند. هرچند محققان اعلام کردهاند برای جلوگیری از این حمله، وصلهی آسیبپذیری به تنهایی کافی نیست و باید یک سری پیکربندیها انجام شده و محافظتها تکمیل شود.
مسدود کردن پورتهای مربوط به پروتکلهای RDP و DCE/RPC نیز میتواند از احتمال وقوع این حملات بکاهد ولی محققان میگویند این حمله میتواند با استفاده از پروتکلهای دیگر نیز پیادهسازی شود. یکی از راهحلهای دیگر نیز این میتواند باشد که استفاده از حسابهای کاربری با دسترسیهای بالا را به حداقل برسانید. بهعبارت دیگر تا جایی که ضرورتی ندارد، از حسابهای کاربری معمولی برای انجام کارهای سازمانی استفاده کنید.
