آخرین اخبار درباره آسیب پذیری های BlueKeep و DejaBlue
آخرین اخبار درباره آسیب پذیری های BlueKeep و DejaBlue
آخرین اخبار درباره آسیب پذیری های BlueKeep و DejaBlue
طی چند ماه گذشته، مایکروسافت چندین به روزرسانی امنیتی را برای اشکالات امنیتی مهم Remote Desktop (RDP) منتشر کرده است. این اشکالات برای زیرساخت های فناوری اطلاعات قابل توجه است زیرا به عنوان اشکالات “کرم پذیر” یا wormable طبقه بندی می شوند و به معنای این است که بدافزارهای بعدی، بدون نیاز به تعامل صریح کاربر، می توانند از سیستمی به سیستم دیگر گسترش یابند. با استفاده از این آسیب پذیری ها مهاجمین میتوانند که درخواستی دستکاری شده را از طریق RDP به سرویس دسک تاپ از راه دور سیستم مورد نظر ارسال کرده و از آن سوء استفاده کنند. مشاهده شده است که این نوع حملات می تواند بسیار مخرب باشند. مهمترین این دسته از حملات، بد افزار WannaCry است. به سازمانها توصیه می کنیم بلافاصله وصله های امنیتی مایکروسافت را اعمال کنند. سیسکو تالوس پوشش شناسایی CVE-2019-0708 را منتشر کرد و همچنین راهنمایی هایی را برای کمک به سازمان ها برای تسهیل بازرسی جلسات RDP در آن فراهم کرد. مایکروسافت ماه گذشته به روزرسانی های امنیتی اضافی را منتشر کرد تا دو آسیب پذیری اضافی در اجرای کد از راه دور، CVE-2019-1181 و CVE-2019-1182 را کاهش دهد که روی چندین نسخه مایکروسافت ویندوز تأثیر می گذارد. این اشکالات با نام های BlueKeep و DejaBlue شناخته می شوند.
آسیب پذیری اجرای کد از راه دور در خدمات دسک تاپ از راه دور (CVE-2019-0708)
این آسیب پذیری در ابتدا در ماه مه ۲۰۱۹ منتشر شد و اغلب از آن به عنوان “BlueKeep” یاد می شود. این یک نمونه آسیب پذیری قبل از تأیید هویت است، به این معنی که یک مهاجم می تواند بدون نیاز به تأیید اعتبار در سیستم آسیب دیده با اعتبار معتبر، اقدام به سوء استفاده از آن کند. مایکروسافت مشاوره امنیتی را در رابطه با این آسیب پذیری منتشر کرد و بارها از سازمانها خواسته است تا بروزرسانی امنیتی مربوطه را بر روی سیستم ها اعمال کنند تا تهدیدات حملات را کاهش دهند.
طی ماههای گذشته تحقیقات قابل توجهی صورت گرفته است که بسیاری از محققان در تلاش برای توسعه موفقیت آمیز برطرف کردن این تهدیدات هستند. اکنون سوء استفاده اجرای از راه دور کد در حال توسعه است، اگرچه هیچ آماری در این مرحله به طور عمومی منتشر نشده است. به این ترتیب، سازمانها باید اطمینان حاصل کنند که سیستم هایشان در اسرع وقت به روز می شوند تا اطمینان حاصل شود که دیگر سیستم های آنها تحت تأثیر این آسیب پذیری قرار نمی گیرند. در شرایطی که به روزرسانی های امنیتی قابل استفاده نیستند، سازمان ها باید از قابلیت سطح تأیید اعتبار شبکه (NLA) موجود در Microsoft Windows استفاده کنند و با محدود کردن دسترسی به سرورهای RDP از طریق اینترنت، میزان قرار گرفتن در معرض خطر را محدود کنند.
آسیب پذیری اجرای کد از راه دور از راه دور خدمات دسک تاپ (CVE-2019-1181 و CVE-2019-1182)
مایکروسافت ماه گذشته به روزرسانی های امنیتی اضافی را منتشر کرد تا دو آسیب پذیری اضافی در اجرای کد از راه دور را که روی چندین نسخه مایکروسافت ویندوز تأثیر گذاشته اند، کاهش دهد. مشابه آنچه در مورد CVE-2019-0708 شرح داده شد، این آسیب پذیری ها نیز قبل از تأیید هویت هستند و برای تعقیب موفقیت آمیز سیستم های آسیب دیده نیازی به تعامل کاربر به صورت مستقیم ندارند. مایکروسافت بولتنهای راهنما را برای CVE-2019-1181 و CVE-2019-1182 منتشر کرد و به سازمانها توصیه می کند که سیستم های خود را در اسرع وقت به روز کنند. علاوه بر نصب به روزرسانی های امنیتی، بولتن ها مشخص می کنند که از طریق آن می توان NLA را در سیستم های آسیب دیده برای کاهش جزئی استفاده کرد زیرا با این کار به مهاجمان مجبور می شوند تا قبل از رسیدن به وضعیت بهره برداری، به سرورهای احراز هویت RDP منتقل شوند.
