4 نقص مشابه BlueKeep و از نوع Wormable در Windows Remote Desktop یا RDP کشف شدند. - مرکز پژوهشی آپا

RDP

سیستم‌عامل ویندوز شامل چهار آسیب‌پذیری حیاتی از نوع wormable و اجرای کد از راه دور در سرویس‌های Remote Desktop است که مشابه آسیب‌پذیری RDP اخیراً وصله شده هستند[۱].

در نتیجه اگر از هر نسخه پشتیبانی شده از سیستم‌عامل ویندوز استفاده می‌کنید، همه‌چیز را متوقف کنید و آخرین نسخه‌های امنیتی از مایکروسافت را بلافاصله نصب کنید.

هر چهار آسیب‌پذیری توسط تیم امنیتی مایکروسافت کشف‌شده و با نام‌های CVE-2019-1181 ،CVE-2019-1182 ،CVE-2019-1222 و CVE-2019-1226 نام‌گذاری شده‌اند[۲-۵]. این آسیب‌پذیری‌ها می‌توانند توسط مهاجمان غیرمجاز و از راه دور برای کنترل یک سیستم آسیب‌دیده و بدون نیاز به تعامل کاربر بهره‌برداری شوند.

دقیقاً مانند[۶] نقص BlueKeep RDP، هر چهار آسیب‌پذیری که اخیراً کشف شدند نیز wormable هستند[۷] و می‌توانند توسط دژافزارهای احتمالی مورد بهره‌برداری قرار گیرند تا خود را از یک رایانه آسیب‌پذیر به کامپیوترهای دیگر پخش کنند.

مایکروسافت دراین‌باره هشدار داد[۸]: “یک مهاجم می‌تواند با ارسال یک بسته RDP از پیش تصویب‌شده خاص به سرور RDS تحت تأثیر، اجازه اجرای کد را در سطح سیستم دریافت کند.”

“نسخه‌های تحت تأثیر ویندوز عبارت‌اند از ویندوز ۷ نسخه SP1، ویندوز سرور ۲۰۰۸ نسخه R2 SP1، ویندوز سرور ۲۰۱۲، ویندوز ۸٫۱، ویندوز سرور ۲۰۱۲ نسخه R2 و تمام نسخه‌های پشتیبانی شده ویندوز ۱۰، ازجمله نسخه‌های سرور.”

گرچه دو آسیب‌پذیری اول روی همه نسخه‌های پشتیبانی شده از سیستم‌عامل ویندوز تأثیر می‌گذارند، اما مجموعه دوم نقص‌ها (۱۲۲۲ و ۱۲۲۶) فقط بر روی ویندوز ۱۰ و Windows Server Edition تأثیرگذار هستند.

این آسیب‌پذیری‌های جدید روی ویندوز XP ، ویندوز سرور ۲۰۰۳ و ویندوز سرور ۲۰۰۸ و همچنین روی خود Remote Desktop Protocol تأثیرگذار نیستند که مایکروسافت آن را برای خدمات Remote Desktop ایجاد کرده است.

در عوض، آسیب‌پذیری‌های موجود در Remote Desktop Services – که قبلاً با عنوان Terminal Services شناخته می‌شدند – توسط مهاجمان غیرمجاز از راه دور می‌توانند با ارسال درخواست‌های دستکاری‌شده خاص از طریق پروتکل RDP به یک سیستم مورد هدف مورد بهره‌برداری قرار گیرند.

علاوه بر این، مایکروسافت همچنین می‌گوید که این شرکت “هیچ مدرکی مبنی بر اینکه این آسیب‌پذیری‌ها توسط شخص ثالثی شناسایی ‌شده باشند” یا در سطح اینترنت مورد بهره‌برداری قرار گرفته باشند، ندارد.

مایکروسافت به‌شدت توصیه می‌کند: “مهم است که سیستم‌های آسیب‌دیده در اسرع وقت به دلیل خطرات زیاد مرتبط با این آسیب‌پذیری‌های wormable وصله شوند.”

در صورت عدم وصله کردن سیستم‌ها، این آسیب‌پذیری‌های امنیتی می‌توانند به مهاجمان اجازه دهند تا دژافزارهای از نوع wormable را به روشی مشابه گسترش دهند همان‌طور که دژافزارهای مشهور WannaCry و NotPetya در سال ۲۰۱۷ در سراسر جهان پخش شدند[۹و۱۰].

به‌روزرسانی‌های سه‌شنبه‌های مایکروسافت در اوت ۲۰۱۹

علاوه بر این چهار نقص امنیتی مهم، مایکروسافت ۸۹ آسیب‌پذیری را نیز به‌عنوان بخشی از بسته ماهانه به‌روزرسانی‌های امنیتی این شرکت در ماه اوت ۲۰۱۹ برطرف است که ۲۵ مورد آن در دسته‌بندی حیاتی و ۶۴ مورد در دسته‌بندی مهم ازنظر شدت قرار گرفتند[۱۱].

به‌روزرسانی‌های امنیتی اوت ۲۰۱۹ شامل وصله‌هایی برای نسخه‌های مختلف پشتیبانی شده از ویندوز و سایر محصولات مایکروسافت ازجمله اینترنت اکسپلورر،Edge ، آفیس،ChakraCore ،Visual Studio ، خدمات آنلاین و Active Directory Microsoft Dynamics هستند.

همه آسیب‌پذیری‌های مهم ذکرشده در این ماه روی نسخه‌های مختلف سیستم‌عامل ویندوز ۱۰ و نسخه‌های سرور تأثیر می‌گذارند و بیشتر در موتور اسکریپتی Chakra قرار دارند و برخی نیز در رابط دستگاه گرافیکی ویندوز (GDI) ،Word ،Outlook ، Hyper-V، VBScript Engine ، LNK و Windows DHCP Server قرار دارند.

برخی از آسیب‌پذیری‌های دارای درجه مهم همچنین منجر به حملات اجرای کد از راه دور می‌شوند، درحالی‌که اکثر آن‌ها امکان افزایش امتیاز، انکار سرویس، افشای اطلاعات، دوز زدن مسائل امنیتی، جعل هویت، دستکاری‌شده و حملات cross-site scripting را فراهم می‌کنند.

به کاربران و مدیران سیستم اکیداً توصیه می‌شود که در اسرع وقت جدیدترین وصله‌های امنیتی را اعمال کنند تا مجرمان سایبری و هکرها نتوانند رایانه‌های آن‌ها را کنترل کنند.

برای نصب جدیدترین به‌روزرسانی‌ها به بخش Settings → Update & Security → Windows Update → Check for updates رفته یا می‌توانید این به‌روزرسانی‌ها را به‌صورت دستی نصب کنید.

منابع

[۱] https://apa.aut.ac.ir/?p=6164

[۲] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

[۳] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

[۴] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222

[۵] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

[۶] https://thehackernews.com/2019/07/linux-malware-windows-bluekeep.html

[۷] https://apa.aut.ac.ir/?p=6339

[۸] https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182

[۹] https://apa.aut.ac.ir/?p=2580

[۱۰] https://apa.aut.ac.ir/?p=2723

[۱۱] https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/312890cc-3673-e911-a991-000d3a33a34d