انتشار بهره‌برداری‌های اثبات مفهومی برای آسیب‌پذیری BlueGate ویندوز سرور که به‌تازگی وصله شده بود

بهره‌برداری‌های اثبات مفهومی برای دو آسیب‌پذیری موجود در Remote Desktop Gateway که به‌تازگی وصله شده بودند، منتشر شده است که ممکن است برای اجرای کد از راه دور مورد بهره‌برداری قرار گیرند. Remote Desktop Gateway (RD Gateway) یک مؤلفه‌ی ویندوز سرور است که قبلاً به‌عنوان Terminal Services Gateway شناخته می‌شد. استفاده از RD Gateway که مسیریابی RDP را فراهم می‌کند، باید سطح حمله را کاهش دهد، زیرا سازمان‌ها مجبور نیستند به‌طور مستقیم سرورهای RDP خود را در معرض اینترنت قرار دهند. کاربران راه دور نیز به RD Gateway که ترافیک RDP را به آدرس موردنظر هدایت می‌کند، متصل می‌شوند.

بااین‌حال، پژوهش‌گران مایکروسافت کشف کردند که RD Gateway تحت تأثیر دو آسیب‌پذیری بحرانی خرابی حافظه قرار گرفته است که می‌تواند توسط یک مهاجم راه دور به‌منظور اجرای کد دلخواه با ارسال درخواست‌های دست‌کاری‌شده‌ی خاص به سیستم هدف از طریق RDP مورد بهره‌برداری قرار گیرد. برای بهره‌برداری از آن نیاز به تعامل با کاربر نیست. این آسیب‌پذیری که با شناسه‌ی CVE-2020-0610 و CVE-2020-0609 ردیابی می‌شود، ویندوز سرور ۲۰۱۲، ۲۰۱۶ و ۲۰۱۹ را تحت تأثیر قرار می‌دهد. مایکروسافت این آسیب‌پذیری‌ها را با به‌روزرسانی‌های امنیتی ماه ژانویه‌ی سال ۲۰۲۰ میلادی وصله کرد.

تحلیل فنی این آسیب‌پذیری‌ها تنها چند روز بعد توسط پژوهش‌گری به نام مارکوس هاتکینز منتشر شد و درحال‌حاضر چند بهره‌برداری اثبات مفهومی برای آن‌ها عرضه شده است. هاتکینز کد منبع یک اسکنر را منتشر کرد که به کاربران اجازه می‌دهد تا بررسی کنند که آیا سرورهای آن‌ها آسیب‌پذیر هستند یا خیر. یک پژوهش‌گر مستقر در دانمارک با نام مستعار Ollypwn یک بهره‌برداری اثبات مفهومی منتشر کرده است که از آسیب‌پذیری‌های CVE-2020-0610 و CVE-2020-0609 استفاده می‌کند تا شرایط منع سرویس ایجاد کند. Ollypwn این آسیب‌پذیری‌ها را BlueGate می‌نامد.

پژوهش‌گری به نام لوکا مارچلی نیز بیان می‌کند که یک اثبات مفهومی ایجاد کرده است که امکان اجرای کد از راه دور را فراهم می‌کند، اما هنوز بهره‌برداری خود را به‌صورت عمومی منتشر نکرده است. این کارشناس به‌زودی در یک پست وبلاگی جزئیات کار خود را منتشر خواهد کرد.

هاتکینز در پست وبلاگی خود تشریح کرد که این آسیب‌پذیری‌ها کد RD Gateway را که مسئول مدیریت UDP است تحت تأثیر قرار می‌دهند. RD Gateway همچنین از HTTP و HTTPS پشتیبانی و UDP را غیرفعال می‌کند و برای درگاه UDP مربوطه دیوار آتش ایجاد می‌کند تا در مورد کاربرانی که قادر به نصب سریع وصله‌های مایکروسافت نیستند، راه‌کار مناسبی برای جلوگیری از بهره‌برداری باشد.

کاربران باید برای جلوگیری از بهره‌برداری از این آسیب‌پذیری‌ها اقدامات لازم را انجام دهند، زیرا ضعف‌های مربوط به RDP می‌تواند هدفی وسوسه‌انگیز برای عاملان مخرب باشد. نفوذگران بهره‌برداری از آسیب‌پذیری Windows Remote Desktop Services را که با نام BlueKeep شناخته می‌شود، چند ماه پس از انتشار یک وصله توسط مایکروسافت آغاز کردند.

منبع

پست‌های مشابه

Leave a Comment