برای مشاهده نتایج کلید Enter و برای خروج کلید Esc را بفشارید.

اکسپلویت شدن آسیب پذیری BlueKeep در RDP ویندوز

اخیرا یک حمله سایبری شناسایی شده که  باور بر این است که اولین تلاش در جهت اکسپلویت کردن آسیب پذیری BlueKeep در RDP است و به منظور عملیات mining برای رمز پول ها با استفاده از سیستم های آلوده شده صورت گرفته.

در ماه می امسال ،مایکروسافت یک پچ برای آسیب پذیری بسیار جدی RCE به نام BlueKeep منتشر کرد.این نقص در سرویس remote desktop  وجود دارد که قابلیت اکسپلویت شدن از راه دور را به منظور تحت کنترل قرار دادن سیستم آلوده فقط با فرستادن request های بخصوصی از طریق RDPدارد.

BlueKeep که با کد CVE-2019-0708 شناخته میشود که در صورت مسلح شدن با بدافزار به صورت اتوماتیک از یک سیستم آلوده به سیستم دیگر تکثیر میشود بدون اینکه نیازی به ارتباط با کاربر باشد.

این آسیب پذیری در حدی جدی است که از زمان شناسایی مایکروسافت و حتی خیلی از سازمان های دولتی مرتبا به کاربران در مورد انجام بروز رسانی های امنیتی قبل از آسیب دیدن ،هشدار داده اند.

حتی خیلی از موسسات تحقیقات امنیت سایبری بعد از اینکه اکسپلویت موفقی برای این آسیب پذیری طراحی کردند آنرا منتشر نکرده اند چون نزدیک به یک میلیون سیستم حتی بعد از منتشر شدن پچ های امنیتی هم چنان در برابرBlueKeep آسیب پذیر بودند.

به همین جهت شش ماه زمان برد که هکر های آماتور به اکسپلویتی برای این آسیب پذیری رسیدند که هنوز البته کارایی آن با شک وتردید همراه است و قابلیت wormable بودن را ندارد.

اکسپلویت شدن BlueKeep  اولین بار توسط Kevin Beaumont مشاهده شد وقتی چندین سیستم EternalPot RDP honeypot او کرش کردند وناگهان ریبوت شدند.

Marcus Hutchins متخصصی که کمک بزرگی در جلوگیری از شیوع WannaCry در سال ۲۰۱۷ کرد بابررسی مواردی که توسط Beaumont به اشتراک گذاشته شد وجود مواردی را مربوط به BlueKeep در حافظه و shellcode تصدیق کرد که برای Monero mining از آنها استفاده میشود.

اکسپلویت حاوی دستورات encode شده PowerShell به عنوان  payload اولیه است که سپس  فایل اجرایی باینری مخرب نهایی را از یک سرور C&C دانلود میکند و روی سیستم های مورد حمله قرار گرفته  اجرا میکند.

بنابر گزارش سرویس اسکن بدافزار   VirusTotal  مربوط به گوگل،این فایل باینری یک بدافزار رمزپول است که به منظور mining رمزپول Monero از آن استفاده میشود و از قدرت کامپیوترهای آلوده شده برای این منظور استفاده میشود.

Hutchins  تاکید کرده بدافزاری که از طریق اکسپلوت BlueKeep پخش شده قابلیت خود تکثیری نداشته که بتواند بدون نیاز به کمک از کامپیوتری به کامپیوتر دیگر منتقل شود واین طور به نظر می رسد که مهاجمین ابتدا روی اینترنت سیستم های آسیب پذیر را شناسایی میکنند وبعد اکسپلویت میکنند.در واقع به دلیل عدم وجود یک کامپوننت wormable مهاجمین فقط قادر به حمله به سیستم های آسیب پذیری هستند که مستقیما به اینترنت متصل هستند .

با اینکه ممکن است هکر های حرفه ای تر تا الان BlueKeep را اکسپلویت کرده باشند ومخفیانه وبی سروصدا مشغول حمله به سیستم ها باشند ولی تا الان خوشبختانه اثری از اکسپلویت شدن در ابعاد بزرگ مانند WannaCry و NotPetya دیده نشده.,ولی هم چنان تعداد سیستم های آلوده شده به ماینر Monero از طریق آسیب پذیری BlueKeep تا به امروز مشخص نیست.

تنها راه مقابله بروز رسانی امنیتی وینذوز برای BlueKeep است.واگر این کار در شرکت یا سازمان فعلا مقدرو نیست می توان علی الحساب تمهیدات زیر را تا زمان بروز رسانی در نظر داشت:

  • غیر فعال کردن سرویس RDP در صورت عدم نیاز به آن.
  • بلاک کردن پورت ۳۳۸۹ با استفاده از فایروال و یا در دسترس قرار دادن این پورت فقط از طریق یک VPN.
  • فعال کردن NLA یا network level authentication .