بهره‌برداری BlueKeep به Metasploit اضافه شد

یک بهره‌برداری عمومی که آسیب‌پذیری BlueKeep مایکروسافت ویندوز را که به‌تازگی رفع شده بود و به چارچوب Metasploit متعلق به Rapid7 اضافه شده است، هدف قرار می‌دهد. این آسیب‌پذیری که با شناسه‌ی CVE-2019-0708 ردیابی می‌شود، توسط مایکروسافت و با به‌روزرسانی‌های وصله‌ی روز سه‌شنبه‌ی ماه مِه سال ۲۰۱۹ میلادی رفع شده بود. در عرض چند هفته، پژوهش‌گران امنیتی اولین اسکن‌های مربوط به این آسیب‌پذیری را مشاهده کردند و مدت زیادی طول نکشید که حملات، آن را هدف قرار دادند.

محصولات صنعتی و پزشکی نیز در معرض خطر قرار گرفتند. پژوهش‌گران امنیتی متوجه شدند که سرعت وصله شدن سیستم‌ها توسط مدیران، پس از چند ماه به‌طور چشم‌گیری کاهش یافته است و هنوز ۷۵۰ هزار سیستم در اواسط ماه آگوست آسیب‌پذیر بوده است.

این آسیب‌پذیری که معمولاً BlueKeep نامیده می‌شود، یک اشکال استفاده پس از آزادسازی هسته‌ به‌صورت از راه دور است که Remote Desktop Protocol ویندوز را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری ممکن است توسط مهاجمان و به‌منظور اجرای کد دلخواه و به دست گرفتن کنترل یک دستگاه آسیب‌پذیر با ارسال درخواست‌های دست‌کاری‌شده از طریق RDP مورد بهره‌برداری قرار گیرد.

درایور RDP termdd.sys عملیات بایند کردن به کانال داخلی MS_T120 را به درستی مدیریت نمی‌کند و به یک پیام Disconnect Provider Indication مخرب اجازه می‌دهد تا منجر به استفاده پس از آزادسازی شود. مؤلفه‌ی Metasploit که به‌تازگی اضافه شده و به صورت متن باز در دسترس است، از یک مؤلفه‌ی خارجی پایتون به یک Ruby بومی منتقل شد تا از RDP و سایر کتابخانه‌های پیشرفته در این چارچوب استفاده کند.

درحال‌حاضر، این مؤلفه نسخه‌های ۶۴ بیتی ویندوز ۷ و ویندوز سرور ۲۰۰۸ R2 را هدف قرار می‌دهد. درحال‌حاضر، کاربر باید اطلاعات هدف بیشتری برای استفاده از این مؤلفه فراهم کند، در غیر این صورت میزبان هدف ممکن است خراب شود. Rapid7 بیان می‌کند که این مؤلفه یک گزینه‌ی TARGET اثر انگشت پیش‌فرض پیاده‌سازی می‌کند که تنها یک میزبان آسیب‌پذیر را بررسی می‌کند و برخی اطلاعات اولیه درباره‌ی سیستم عامل هدف را نمایش می‌دهد، اما کاربر باید یک هدف دقیق‌تر مشخص کند. این شرکت بیان می‌کند که بااین‌که اهداف خاصی برای Bare-metal، Virtualbox، VMware و Hyper-V وجود دارد، اما متغیرهای اضافی در محیط‌های هدف ممکن است آدرس پایه را تغییر دهند.

درحال‌حاضر، این مؤلفه نسخه‌های ۶۴ بیتی ویندوز ۷ و ویندوز سرور ۲۰۰۸ R2 را هدف قرار می‌دهد. درحال‌حاضر، کاربر باید اطلاعات هدف بیشتری برای استفاده از این مؤلفه فراهم کند، در غیر این صورت میزبان هدف ممکن است خراب شود. Rapid7 بیان می‌کند که این مؤلفه یک گزینه‌ی TARGET اثر انگشت پیش‌فرض پیاده‌سازی می‌کند که تنها یک میزبان آسیب‌پذیر را بررسی می‌کند و برخی اطلاعات اولیه درباره‌ی سیستم عامل هدف را نمایش می‌دهد، اما کاربر باید یک هدف دقیق‌تر مشخص کند. این شرکت بیان می‌کند که بااین‌که اهداف خاصی برای Bare-metal، Virtualbox، VMware و Hyper-V وجود دارد، اما متغیرهای اضافی در محیط‌های هدف ممکن است آدرس پایه را تغییر دهند.

منبع

پست‌های مشابه

Leave a Comment