آسیب‌پذیری اجرای کد از راه دور BlueKeep در پروتکل RDP ویندوز

آسیب‌پذیری اجرای کد از راه دور BlueKeep در پروتکل RDP ویندوز

Bluekeep یک آسیب‌پذیری بحرانی اجرای کد از راه دور و از دسته کرم‌ها در سرویس‌های دسترسی از راه دور است که به هکرها اجازه دسترسی به دستگاه آسیب‌پذیر را بدون احراز هویت می‌دهد. چون این آسیب‌پذیری از دسته کرم‌ها است، پس می‌تواند به سرعت میلیون‌ها دستگاه را در مدت کوتاهی به خطر بیندازد. سوء‌استفاده موفقیت‌آمیز از این آسیب‌پذیری اجازه می‌دهد که یک مهاجم از راه دور بتواند در سیستم هدف اجرای کد دلخواه انجام دهد و برنامه‌هایی را نصب کند که تغییرات کاربر را ردیابی کند و همچنین توانایی حذف داده‌ها و ایجاد یک حساب کاربری با سطح دسترسی بالا را به مهاجم می‌دهد. این آسیب‌پذیری که بر روی سیستم‌عامل‌های چندگانه مایکروسافت‌ تاثیرگذار است را می‌توان با شناسه CVE-2019-0708 ردیابی کرد و هم نسخه‌های پشتیبانی شده و هم نسخه‌های پشتیبانی نشده از این سیستم‌عامل‌ها را شامل می‌شود. مایکروسافت در روز 14 ماه می یک وصله برای آسیب‌پذیری BlueKeep منتشر کرد که مدیریت درخواست اتصال سرویس‌های دسترسی از راه دور در ویندوز را بهبود بخشید. لیست نسخه‌های تحت‌تاثیر به صورت زیر است: • Windows 2003 • Windows XP • Windows Vista • Windows 7 • Windows Server 2008 • Windows Server 2008 R2 سیستم‌هایی که تحت ویندوز 8 و 10 هستند، تحت‌تاثیر این آسیب‌پذیری قرار نمی‌گیرند و مایکروسافت وصله این آسیب‌پذیری را برای نسخه‌های پشتیبانی شده و همچنین با یک گام اضافی برای نسخه‌های پشتیبانی نشده منتشر کرده‌ است. 0patch یک وصله را برای BlueKeep منتشر کرد، که برای سیستم‌عامل‌هایی که به‌روزرسانی مایکروسافت برای آن‌ها منتشر نمی‌شود و همچنین سیستم‌های بحرانی نظیر ATM یا ICS که در آن راه اندازی مجدد امکان پذیر نیست، مفید خواهد بود. محققان امنیتی McAfee یک کد PoC را برای بهره‌برداری از آسیب پذیری CVE-2019-0708 منتشر کردند که می‌تواند از راه دور کدی را بر روی دستگاه قربانی اجرا کند تا برنامه ماشین حساب را اجرا کند. مهاجمان می‌توانند در آینده از اکسپلویت این آسیب‌پذیری بهره‌برداری کنند که می‌تواند موجب گسترش بدافزارهای خطرناک دیگری مثل WannaCry ‌شود. پس از مدیران سیستم درخواست می‌شود که وصله مربوطه را در اسرع وقت اعمال کنند. توصیه‌ها: • اگر نیازی به سرویس‌های دسترسی از راه دور ندارید آن‌ها ‌را مسدود کنید. • پورت 3389 TCP را در فایروال سازمانی مسدود کنید. • وصله را به دستگاه‌های آسیب‌پذیری که دارای RDP فعال هستند، اعمال کنید.