اولین تلاش‌ها برای بهره‌برداری از آسیب‌پذیری BlueKeep RDP ویندوز در دنیای واقعی مشاهده شد

محققان امنیتی اعلام کردند اولین تلاش‌های آماتور برای بهره‌برداری از آسیب‌پذیری مشهور BlueKeep RDP را مشاهده کرده‌اند. گفته می‌شود این حملات برای آلوده کردن سیستم‌های آسیب‌پذیر به بدافزارهای استخراج رمزارز انجام شده است. در ماه می سال جاری شرکت مایکروسافت وصله‌ای را برای برطرف کردن آسیب‌پذیری حیاتی اجرای کد از راه دور را که BlueKeep  نامیده می‌شد منتشر کرد. این آسیب‌پذیری سرویس RDP ویندوز را تحت تاثیر قرار می‌داد و مهاجم از راه دور و تنها با ارسال یک درخواست جعلی ‌RDP می‌توانست از این آسیب‌پذیری بهره‌برداری کند.

به این آسیب‌پذیری شناسه‌ی CVE-2019-0708 اختصاص یافته و یک آسیب‌پذیری wormable است چرا که می‌تواند خود را از طریق یک سیستم آسیب‌پذیر به سیستم‌های متصل دیگر توزیع و پخش کند. هنوز بعد از انتشار به‌روزرسانی‌ها و وصله‌ها برای این آسیب‌پذیری، به نظر می‌رسد نزدیک به ۱ میلیون سیستم آسیب‌پذیر همچنان وجود دارد و برای همین بسیاری از موسسات امنیتی که کد بهره‌برداری برای این آسیب‌پذیری توسعه داده‌اند، آن‌ها را به‌طور عمومی منتشر نمی‌کنند.

یک محقق امنیتی این بهره‌برداری و حمله را زمانی شناسایی کرد که چند سیستم هانی‌پات EternalPot RDP ناگهان دچار فروپاشی شده و ناگهان راه‌اندازی شده است. محققان این اتفاق را بررسی کرده و تایید کردند که بهره‌برداری آسیب‌پذیری BlueKeep در تلاش بوده تا Monero Miner را بر روی سیستم‌های آسیب‌پذیر نصب کند. بهره‌برداری شامل دستورات شل‌کد و بار داده‌ی اولیه بوده که در نهایت تلاش دارد تا بار داده‌ی نهایی و بدافزار اصلی را از روی یک سرور راه دور دانلود کند.

محققان همچنین تایید کردند این بدافزار که از BlueKeep بهره‌برداری می‌کند دارای ویژگی خود-توزیعی نیست و نمی‌تواند از سیستم آلوده به سیستم‌های متصل دیگر منتشر شود. به نظر می‌رسد در حال حاضر مهاجمان صرفا در حال اسکن و شناسایی سیستم‌های آسیب‌پذیر و تنها آلوده کردن آن‌ها به بدافزار بوده‌اند. به‌عبارت دیگر مهاجمان فقط توانسته‌اند سیستم‌هایی که به اینترنت متصل هستند را آلوده کنند و قابلیت آلوده کردن سیستم‌های داخلی را نداشته‌اند. به کاربران و سازمان‌هایی که از سیستم‌های ویندوزی استفاده می‌کنند، اکیدا توصیه می‌شود تا این آسیب‌پذیری را وصله کنند. در صورتی‌که به‌روزرسانی و وصله‌ی آسیب‌پذیری ممکن نیست، سرویس RDP را غیرفعال کنند و از طریق فایروال پورت شماره‌ی ۳۳۸۹ را ببندند.

منبع

پست‌های مشابه

Leave a Comment