چندی پیش ماکروسافت نقض امنیتی بحرانی را اعلام کرد که این آسیب پذیری سرویس پروتکل دسک تاپ (RDP) که در نسخه های قدیمی تر سیستم عامل می باشند را تحت تاثیر قرار می دهد.
. این آسیب پذیری سیستم عامل های زیر را تهدید می کند:
- Windows XP
- Windows 7
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
آسیب پذیری BlueKeep تحت عنوان CVE-2019-0708 که در سرویس های Remote Desktop Services یافت می شود، می تواند دسترسی به کامپیوتر هدف را از طریق یک درپشتی بدون هیچ گونه اعتبار یا تعامل کاربر داشته باشد. این آسیب پذیری نوعی “wormable(کرم)” است. این بدان معنی است که سوء استفاده های آینده ممکن است از گسترش این بدافزار در داخل یا خارج از شبکه ها دیده شود. این نقص بحرانی اجازه می دهد تا شخص ثالث (از طریق مولفه RDP) یک سرور آسیب پذیر را از راه دور و بدون نیاز به احراز هویت کنترل کند و تمام داده ها و برنامه های میزبانی شده روی یک سرور آسیب پذیر می توانند به خطر بیفتند.
ماکروسافت Patch ای را برای ویندوز ویستا منتشر نکرده، با وجود اینکه این نسخه نیز تحت تاثیر آسیب پذیری قرار گرفته است. تنها راه حل این است که (RDP) را به طور کامل غیرفعال کرده یا تنها از طریق VPN از آن استفاده کنند.
ذکر این نکته لازم است که هر شرکتی که در حال استفاده از سیستم عامل هایی که در بالا به آن اشاره شد می باشد، با استفاده از RDP در اینترنت، کاربران و منابع خود را در معرض خطر قرار می دهد. به استثنای آسیب پذیری هایی مانند BlueKeep، مهاجمان همچنین تلاش می کنند تا راه خود را به ماشین های شرکت و سیستم های داخلی نیز باز کنند و بتوانند دسترسی داشته باشند.
مورد BlueKeep یک شباهت قوی به رویدادهای دو سال پیش دارد. در 14 مارس سال 2017، ماکروسافت رفع آسیب پذیری کرم در پروتکل پیام سرور(SMB) Server Message Block را منتشر کرد و تمام کاربران را بلافاصله برای پچ کردن دستگاه های ویندوز خود، توصیه کرد.
چه کارهایی در این باره می بایست انجام دهیم؟
- Patch :
ماکروسافت قبلا یک پچ منتشر کرده است و ما توصیه می کنیم که درصورت امکان تمام سرورهای خود که در آن از نسخه های ویندوز ذکر شده استفاده می شوند، پچی را که توسط ماکروسافت ارائه شده است را اعمال کنید. برای انجام این کار، به سادگی Windows Update را راه اندازی کنید و مطمئن شوید که سیستم به روز است. برای اطلاعات بیشتر می توانید لینک زیر را مشاهده نمایید:
https://portal.msrc.microsoft.com/en-u…-2019-0708
- غیرفعال کردن Remote Desktop Services
در صورتیکه استفاده ضروری از این سرویس ندارید می توانید این سرویس را غیر فعال نمایید.
- پیکربندی RDP به درستی
اگر سازمان شما باید از RDP استفاده کند، از ارائه آن به اینترنت عمومی جلوگیری کنید. فقط دستگاه های موجود در شبکه یا دسترسی به طریق یک VPN باید قادر به ایجاد یک session از راه دور باشند. گزینه دیگر فیلتر کردن دسترسی RDP با استفاده از لیست سفید فایروال فقط برای یک محدوده رنج IP خاص است.
- تأیید صحت سطح شبکه NLA) Enable Network Level Authentication)
سیستم تایید سطح شبکه (NLA) را در سیستم هایی که نسخه های پشتیبانی شده ویندوز 7، ویندوز سرور 2008 و ویندوز سرور 2008 R2 را اجرا می کنند فعال کنید.
شما می توانید تایید سطح شبکه را فعال کنید تا مهاجمان را از بهره برداری از این آسیب پذیری جلوگیری کند. با استفاده از NLA، یک مهاجم قبل از اینکه بتواند از آسیب پذیری استفاده کند، ابتدا نیاز به تأیید اعتبار سرویس Remote Desktop با استفاده از یک حساب معتبر در سیستم مقصد دارد.
- پورت 3389 TCP را در فایروال فضای سازمانی بلاک کنید
پورت TCP 3389 برای برقراری ارتباط با جزء آسیب دیده استفاده می شود. این کار می تواند به محافظت از شبکه ها از حملات ناشی از خارج از محیط سازمانی کمک کند. مسدود کردن پورت های آسیب دیده در محیط سازمانی بهترین دفاع برای کمک به جلوگیری از حملات مبتنی بر اینترنت است. با این حال، سیستم ها هنوز می توانند به حملات از داخل محیط کاری خود آسیب پذیر باشند.