آسیب‌پذیری CredSSP در پروتکل Remote Desktop بر روی تمامی نسخه‌های ویندوز تأثیرگذار است.

یک آسیب‌پذیری بحرانی در پروتکل ^(۱)CredSSP کشف شده است که بر روی تمامی نسخه‌های ویندوز تأثیر می‌گذارد و می‌تواند به مهاجمان از راه دور اجازه دهد تا از RDP و WinRM برای سرقت اطلاعات و اجرای کد مخرب بهره‌برداری کنند.

پروتکل CredSSP طراحی شده است که توسط RDP یا پروتکل Remote Desktop و مدیریت از راه دور ویندوز^(۲) (WinRM) مورداستفاده قرار گیرد و از نقل‌وانتقال ایمن گواهی‌نامه‌هایی که از سرویس‌گیرنده ویندوز تا سرورهای هدف برای احراز هویتِ از راه دور رمزگذاری شده‌اند، اطمینان به عمل می‌آورد.

این آسیب‌پذیری (CVE-2018-0886) توسط محققان شرکت امنیت سایبری Preempt Security کشف شده است و یک آسیب‌پذیری رمزنگاری منطقی در CredSSP است که می‌تواند توسط یک مهاجم مردی در میان^(۳) توسط Wi-Fi یا دسترسی فیزیکی به شبکه به‌منظور سرقت داده‌های احراز هویت جلسه و اجرای یک حمله تماس از راه دور^(۴) مورد بهره‌برداری قرار گیرد.

زمانی که یک سرویس‌گیرنده و سرور از طریق پروتکل‌های ارتباطی RDP و WinRM احراز هویت می‌شوند، یک مهاجم مردی در میان می‌تواند دستورات از راه دور را اجرا کند تا شبکه‌های سازمانی را به خطر بیندازد.

Yaron Zinar، محقق ارشد امنیتی در Preempt دراین‌باره گفته است[۱]: “مهاجمی که یک جلسه را از یک کاربر با دسترسی کافی سرقت کرده است می‌تواند فرمان‌های مختلفی را با امتیازات مدیریت محلی اجرا کند. این امر به‌ویژه در مورد کنترل‌کننده‌های دامنه مهم است، درحالی‌که اکثر تماس‌های راه دور (DCE/RPC) به‌طور پیش‌فرض فعال هستند. این می‌تواند شرکت‌ها را به تهدیدات مختلفی از جانب مهاجمان، ازجمله جنبش جانبی^(۵) و آلودگی بر روی سرورهای حیاتی یا کنترل‌کننده‌های دامنه، آسیب‌پذیر سازد.”

ازآنجاکه RDP محبوب‌ترین نرم‌افزار برای ورود به سیستم از راه دور است و تقریباً تمام مشتریان سازمانی از RDP استفاده می‌کنند، بیشتر شبکه‌ها به این مسئله امنیتی آسیب‌پذیر هستند[۲].

پژوهشگران Preempt این آسیب‌پذیری اجرای کد از راه دور را که اخیراً ناشناخته بود را کشف کرده و در ماه اوت سال گذشته به مایکروسافت گزارش کرده بودند، اما این غول تکنولوژی امروز و به‌عنوان بخشی از وصله سه‌شنبه‌های خود به‌روزرسانی مربوط به آن را منتشر شده است که تقریباً ۷ ماه از گزارش دادن آن گذشته است.

برای دفاع از خود و سازمان‌های خود در برابر بهره‌بردار CredSSP، به کاربران توصیه می‌شود که worksataion ها و سرورهای خود را با استفاده از به‌روزرسانی‌های منتشرشده توسط مایکروسافت وصله کنند.

اگرچه محققان همچنین هشدار داده‌اند که تنها وصله کردن برای پیشگیری از این حمله کافی نیست و متخصصان IT باید برخی از پیکربندی‌های خود را برای اعمال این وصله تنظیم کنند تا از آن‌ها محافظت شود.

بلاک کردن پورت‌های مربوطه ازجمله RDP و DCE/RPC نیز این حمله را خنثی می‌کند، اما محققان می‌گویند این حمله حتی می‌تواند با استفاده از پروتکل‌های مختلف و به شیوه‌های متفاوتی اجرا شود.

بنابراین، برای محافظت بهتر از شبکه شما، باید تا حد امکان از حساب کاربری دارای دسترسی ممتاز استفاده نکنید و هر زمان که لازم باشد، از حساب‌ کاربری غیر ممتاز استفاده کنید.

به‌عنوان بخشی از وصله منتشرشده مارس ۲۰۱۸، مایکروسافت همچنین وصله‌های امنیتی را برای محصولات دیگر خود، ازجمله مرورگر مایکروسافت اینترنت اکسپلورر و مرورگر Edge، سیستم‌عامل ویندوز، مایکروسافت آفیس، PowerShell، Core ChakraCore و Adobe Flash Player عرضه کرده است [۳].

منابع

[۱] https://blog.preempt.com/security-advisory-credssp

[۲] https://youtu.be/VywB2_o9Tsk

[۳] https://technet.microsoft.com/en-us/security/bulletins

[۴] https://thehackernews.com/2018/03/credssp-rdp-exploit.html

(۱) Credential Security Support Provider
(۲) Windows Remote Management
(۳) man-in-the-middle
(۴) Remote Procedure Call
(۵) lateral movement