نزدیک 1 میلیون کامپیوتر همچنان نسبت به نقص RDP به نام BlueKeep که از نوع Wormable است، آسیب‌پذیر هستند. - مرکز پژوهشی آپا

BlueKeep

تقریباً ۱ میلیون سیستم‌عامل ویندوز پس از ۲ هفته از انتشار وصله‌ی امنیتی مایکروسافت[۱] هنوز وصله نشده‌اند و در معرض آسیب‌پذیری اخیراً کشف‌شده هستند، این آسیب‌پذیری یک آسیب‌پذیری اجرای کد از راه دور حیاتی و Wormable است که در ^(۲)RDP ویندوز قرارداد.

اگر این آسیب‌پذیری مورد بهره‌برداری قرار گیرد، می‌تواند به یک مهاجم اجازه دهد که به‌راحتی باعث به وجود آوردن خرابی در سراسر جهان شود، که به‌طور بالقوه بسیار بدتر از WannaCry و NotPetya است که حملات از نوع Wormable در سال ۲۰۱۷ بودند[۲-۳].

این آسیب‌پذیری که BlueKeep نامیده می‌شود، به‌عنوان CVE-2019-0708 نام‌گذاری شده است، این آسیب‌پذیری روی نسخه‌های ویندوز ۲۰۰۳، XP، ویندوز ۷، ویندوز سرور ۲۰۰۸ و ۲۰۰۸ نسخه‌ی R2 تأثیر می‌گذارد و می‌تواند به‌طور خودکار روی سیستم‌های محافظت نشده گسترش یابد.

این آسیب‌پذیری می‌تواند به یک مهاجم ناشناس و از راه دور اجازه دهد تا کد دلخواه را اجرا کند و کنترل کامپیوتر مورد هدف را فقط با ارسال درخواست‌های خاص به سرویسRemote Desktop از طریق RDP و بدون نیاز به هیچ تعاملی با یک کاربر مورد هدف قرار دهد.

آسیب‌پذیری BlueKeep از نوع Wormable است که اجازه می‌دهد یک دژافزار روی سیستم‌های آسیب‌پذیر از طریق شبکه گسترش یابد مانند WannaCry. برای برطرف کردن این آسیب‌پذیری، مایکروسافت یک به‌روزرسانی دربسته‌ی ماه مه ۲۰۱۹، برای آن منتشر کرد.

بااین‌حال، آخرین اسکن اینترنت توسط Robert Graham، سرپرست شرکت تحقیقاتی امنیتی Errata Security، نشان داد که متأسفانه، حدود ۹۵۰،۰۰۰ دستگاه قابل‌دسترسی عمومی در اینترنت وجود دارند که به BlueKeep آسیب‌پذیر هستند[۴].

این به‌وضوح بدان معنی است که حتی پس از پاک‌سازی امنیتی، همه‌ی کاربرها و سازمان‌ها این وصله را اعمال نکردند، که خطر زیادی را برای افراد و سازمان‌ها، ازجمله محیط‌های صنعتی و بهداشتی ایجاد می‌کند.

Graham از rdpscan استفاده کرد[۵] که یک ابزار اسکن سریع است که در بالای اسکنر پورت masscan خود قرار داد، که می‌تواند کل اینترنت را برای سیستم‌هایی که هنوز به آسیب‌پذیری BlueKeep حساس هستند، اسکن کند و کلاً ۷ میلیون سیستم را پیدا کرد که روی پورت ۳۳۸۹ listen می‌شوند، که حدود ۱ میلیون از آن سیستم‌ها هنوز آسیب‌پذیر هستند.

محققان دراین‌باره می‌گویند: “احتمال می‌رود که هکرها در یک یا دو ماه آینده یک بهره‌بردار قوی پیدا کنند و از این طریق باعث به وجود آمدن خرابی‌های گسترده شوند.”

“این بدان معنی است که وقتی یک Worm مانند این آسیب‌پذیری وارد یک سیستم شود احتمالاً این‌یک‌میلیون دستگاه را به خطر می‌اندازد. این موضوع احتمالاً منجر به یک رویداد وحشتناک مانند WannaCry خواهد شد و حتی به‌طور بالقوه بدتر از سال ۲۰۱۷ – چراکه هکرها مهارت‌های خود را برای بهره‌برداری از نوع آسیب‌پذیری‌ها افزایش دادند.”

آسیب‌پذیری BlueKeep پتانسیل زیادی را برای ایجاد خرابی در سراسر جهان ایجاد می‌کند که باعث شد تا مایکروسافت وصله‌های موردنظر را نه‌تنها برای نسخه‌های پشتیبانی شده از ویندوز، بلکه همچنین برای ویندوز ایکس پی، ویندوز ویستا و ویندوز سرور ۲۰۰۳، که دیگر پشتیبانی از این شرکت دریافت نمی‌کنند ولی به‌طور گسترده در حال استفاده هستند، نیز منتشر کند.

GreyNoise Intelligence دراین‌باره می‌گوید: “نه‌تنها محققان، هکرهای موذی و مجرمان اینترنتی نیز اسکن اینترنت را برای سیستم‌عامل‌های ویندوز آسیب‌پذیر به‌منظور هدف قرار دادن آن‌ها با دژافزارها آغاز کرده‌اند.”

در یک توییت آمده است[۶]: “GreyNoise در حال بررسی آزمایش‌های گسترده برای سیستم‌های آسیب‌پذیر به آسیب‌پذیریBlueKeep از ده‌ها میزبان در سراسر اینترنت است. این فعالیت از گره‌های خروجی اختصاصی Tor دیده می‌شود و احتمالاً توسط یک actor اجرا می‌شود.”

بااین‌حال، خوشبختانه، تاکنون هیچ محقق امنیتی کد اثبات ادعایی را بهره‌برداری از BlueKeep منتشر نکرده است، هرچند تعدادی از آن‌ها تأیید کرده‌اند که با موفقیت یک بهره‌بردار را توسعه دادند.

اگر رفع این نقص در سازمان شما به‌سرعت امکان‌پذیر نیست، می‌توانید از این موارد استفاده کنید: