توسعه‌ی بهره‌برداری‌های اثبات مفهومی برای آسیب‌پذیری Remote Desktop Services ویندوز

برای آسیب‌پذیری Remote Desktop Services (RDS) ویندوز که به‌تازگی وصله شده و با شناسه‌ی CVE-2019-0708 ردیابی و BlueKeep نامیده می‌شود، چند بهره‌برداری اثبات مفهومی توسعه داده شده است که یکی از آن‌ها برای اجرای کد از راه دور استفاده می‌شود.

به‌روزرسانی‌های وصله‌ی روز سه‌شنبه‌ی مایکروسافت در ماه مِی سال ۲۰۱۹ میلادی یک آسیب‌پذیری را رفع کرد که ممکن بود توسط بدافزار به‌منظور انتشار خود مورد بهره‌برداری قرار گیرد، مشابه همان کاری که باج‌افزار WannaCry در سال ۲۰۱۷ میلادی از طریق بهره‌برداری EternalBlue انجام داد.

این آسیب‌پذیری که مایکروسافت آن را Wormable توصیف کرده است، به یک مهاجم احراز هویت‌نشده اجازه می‌دهد تا بدون تعامل کاربر و با ارسال درخواست‌های خاص به RDS دستگاه هدف از طریق Remote Desktop Protocol (RDP) کنترل یک دستگاه را به دست گیرد.

مایکروسافت برای ویندوزهای ۷، سرور ۲۰۰۸، ایکس‌پی و سرور ۲۰۰۳ که دیگر پشتیبانی نمی‌شوند، وصله‌هایی منتشر کرده است. ویندوز ۸ و ۱۰ تحت تأثیر قرار نگرفته‌اند و کاربران ویندوز ۷ و سرور ۲۰۰۸ می‌توانند با فعال کردن احراز هویت سطح شبکه (NLA) مانع از بهره‌برداری مهاجمان احراز هویت‌نشده از این آسیب‌پذیری شوند. با بستن پورت TCP 3389 در دیوار آتش می‌توان با این تهدید مقابله کرد.

کارشناسان هشدار داده‌اند که این آسیب‌پذیری سازمان‌های سراسر جهان و محیط‌های صنعتی را در معرض خطر جدی قرار می‌دهد، زیرا بیشتر آن‌ها از RDS برای دسترسی از راه دور به سیستم‌های کنترلی استفاده می‌کنند. خطر بهره‌برداری از آن برای اهداف مخرب همچنان درحال افزایش است و پژوهش‌گران شرکت‌های امنیت سایبری مختلف بهره‌برداری‌های اثبات مفهومی درحال توسعه را گزارش کرده‌اند.

خوشبختانه تاکنون هیچ بهره‌برداری کاملی به‌صورت عمومی منتشر نشده است. مؤسسه‌ی SANS دو بهره‌برداری جزئی را گزارش کرده است که در دسترس عموم است و هر دوی آن‌ها بدون هیچ آسیب واقعی منجر به این آسیب‌پذیری می‌شوند. بااین‌که برخی از پژوهش‌گران بهره‌برداری‌هایی ایجاد کرده‌اند که منجر به ایجاد شرایط منع سرویس می‌شود، سایر پژوهش‌گران بهره‌برداری‌های اجرای کد از راه دور را توسعه داده‌اند.

بنیان‌گذار و مدیرعامل شرکت Zerodium تأیید کرده است که این آسیب‌پذیری ممکن است به‌صورت از راه دور و بدون احراز هویت به‌منظور دسترسی به یک دستگاه با امتیازات SYSTEM مورد بهره‌برداری قرار گیرد.

مک‌آفی نیز یک بهره‌برداری اثبات مفهومی توسعه داده است که امکان اجرای کد از راه دور را فراهم می‌کند. این شرکت یک ویدئو منتشر کرده که این بهره‌برداری را به‌طور عملی نشان می‌دهد، اما آن را به‌صورت عمومی منتشر نکرده است. برخی از شرکت‌های امنیت سایبری به‌روزرسانی‌هایی را منتشر کرده‌اند که هر گونه تلاش برای بهره‌برداری از آسیب‌پذیری BlueKeep را شناسایی و با آن مقابله می‌کند.

منبع

پست‌های مشابه

Leave a Comment