دربارهی این آسیبپذیری
اواخر بهار سال 2019 پایگاه داده ملی آسیبپذیری (NVD) آسیبپذیری با شناسه CVE-2019-0708 را منتشر کرد ، که بعداً با نام BlueKeep شناخته شد. این آسیبپذیری نسخه های قدیمی ویندوز مانند ویندوز 7، سرور 2008 و 2008 R2 را تحت تأثیر قرار میدهد. این ضعف که بر روی سرویس Remote Desktop – که قبلاً به عنوان Terminal Services شناخته می شد – وجود دارد و به مهاجم امکان دسترسی غیرمجاز به منظور افشای اطلاعات، تغییر پروندهها و ایجاد اختلال در سرویس را می دهد.
مایکروسافت وصلهای را برای این برطرف کردن این آسیبپذیری منتشر کرد و راه حلهای پیشنهادی متعددی را ارائه داد و اوضاع برای مدتی آرام ماند تا اینکه دو ماه پیش آسیبپذیریهای RDP اینبار با سطح عمیقتر و بر روی ویندوزهایی با نسخه جدید از جمله ویندوز 8.1، ویندوز 10، Server 2008 R2 ،2012 R2 ، 2016 و 2019 دوباره پدیدار شدند.
در 13 آگوست 2019 ، مایکروسافت وصلههای دیگری را برای برطرف کردن آسیبپذیری جدید RDP که سیستم عاملهای جدید ویندوز را تحت تأثیر قرار میداد منتشر کرد. این آسیب پذیری DejaBlue لقب گرفته است.
چهار شناسه برای این آسیبپذیری با نامهای CVE-2019-1181، CVE-2019-1182، CVE-2019-1222 و CVE-2019-1226 به ثبت رسیده است.
آسیبپذیری اجرای کد از راه دور بر روی سرویس Remote Desktop هنگامی بوجود میآید که یک مهاجم غیرمجاز با استفاده از RDP به سیستم مورد نظر متصل شده و درخواستهای ویژهای را ارسال میکند. بهرهبرداری از این آسیبپذیری نیاز به احراز هویت یا هیچگونه تعامل با کاربر ندارد. مهاجمی که با موفقیت از این آسیبپذیری سوءاستفاده کرده است میتواند کد دلخواه خود را روی سیستم هدف اجرا کند. همچنین مهاجم با بهرهبرداری از این آسیبپذیری این امکان را پیدا میکند تا دادههای کاربران را مشاهده، تغییر و یا پاک کند؛ یا حسابهای کاربری جدیدی با سطح دسترسی کامل ایجاد نماید.
تاکنون کد بهرهبرداری از این آسیبپذیری بصورت عمومی منتشر نشده است.
محافظت / کاهش تاثیرات مخرب
مایکروسافت وصلههایی را برای این آسیبپذیری منتشر کرده است. همچنین چندین راه حل وجود دارد که میتوان از آنها برای کاهش تاثیر مخرب بهرهبرداری از این ضعف استفاده شود.
راهحلهای موجود برای کاهش خطرپذیری:
- پورت 3389 که مربوط به پروتکل RDP میشود را بر روی فایروال سازمانی خود مسدود نمایید:
پورت TCP 3389 برای شروع اتصال به مؤلفه آسیبپذیر استفاده میشود. مسدود کردن این پورت بر روی فایروال شبکه باعث میشود تا سیستمهایی که در پشت آن فایروال هستند از تلاشها برای بهرهبرداری از این آسیبپذیری محافظت شوند. این اقدام میتواند به محافظت از شبکه در برابر حملات خارج از محیط سازمان منجر شود. مسدود کردن پورتهای درگیر در محیط سازمان بهترین راه برای جلوگیری از حملات مبتنی بر اینترنت است. با این حال، سیستمها هنوز هم میتوانند در برابر حملات از ناحیهی داخلی سازمان خود آسیبپذیر باشند.
- تایید هویت سطح شبکه (NLA) را فعال نمایید:
با فعال شدن NLA، یک مهاجم قبل از اینکه بتواند از این آسیبپذیری سوءاستفاده کند ابتدا باید با استفاده از یک حساب معتبر در سیستم موردنظر توسط Remote Desktop Services احراز هویت شود که اینکار باعث جلوگیری از بهرهبرداری از این آسیبپذیری میگردد.
- همچنین وصلههای منتشر شده توسط مایکروسافت از طریق آدرسهای زیر برای برطرف کردن این آسیبپذیری در دسترس میباشند:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226
منابع
[1]
[2]
[3]