از طریق منوی جستجو مطلب مورد نظر خود در وبلاگ را به سرعت پیدا کنید
CVE-2019-0708 – BlueKeep آسیب پذیری خطرناک ریموت دسکتاپ در ویندوز ۲۰۰۸
سرفصلهای مطلب
با سلام
آسیب پذیری خطرناکی بر روی ویندوز 7 ، 2008 و 2008R2 منتشر شده است که به مهاجم ناشناس اجازه اجرای کد مخرب را قبل از احراز هویت می دهد.
محققان امنیتی موفق به نوشتن یک Exploit برای اجرای راه دور کد های مخربی شدند که از طریق ضعف امنیتی در سرویس Remote Desktop شرکت مایکروسافت امکان نفوذ به شبکه هدف را می دهد. این ضعف امنیتی به BlueKeep معرف است و می توان آن را از طریق CVE-2019-0708 تعقیب کرد. این ضعف امنیتی برای اولین بار توسط (National Cyber Security Centre (NCSCانگلستان کشف و به صورت محرمانه به شرکت مایکروسافت اطلاع داده شده است.
لینک آسیب پذیری CVE-2019-0708 در پرتال مایکروسافت : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
لینک در سایت CVE : https://nvd.nist.gov/vuln/detail/CVE-2019-0708
برطرف کردن باگ CVE-2019-0708
به احتمال زیاد هکر های متعددی سعی دارند برنامه های مخربی بنویسند تا از طریق این ضعف امنیتی شبکه سازمان های مهم را و مورد حمله قرار دهند. این ضعف به حدی خطرناک است که امتیاز ۹٫۸ از ۱۰ به آن تعلق گرفته است و جزء ضعف های امنیتی فوق حساس (Critical) طبقه بندی می شود، همچنین این ضعف از نوع Wormable است و می تواند بعد از آلوده کردن یک سیستم به صورت خودکار به سیستم های دیگر حمله کند. از موارد آشنا که جزء Wormable ها طبقه بندی شده اند می توان به بدافزار WannaCry اشاره کرد که در سال ۲۰۱۷ به طور گسترده در سطح جهان اقدام به آلوده سازی سیستم ها نمود.
خبر خوشحال کننده این است که مایکروسافت در تاریخ ۱۴ می یک پچ برای بر طرف کردن این ضعف ارائه داده است. شدت این نقطه ضعف به حدی است که مایکروسافت برای سیستم عامل های از رده خارج خود مانند ویندوز XP و ۲۰۰۳ نیز پچ ارائه داده است. به احتمال زیاد به زودی هکر ها یک Exploit معتبر برای استفاده از این ضعف امنیتی تولید می کنند پس به شدت توصیه می شود کارشناسان امنیتی و ادمین ها اقدام به بروزرسانی سیستم ها کنند.
Boris Larin از متخصصان شرکت کسپرسکی این ضعف امنیتی را بررسی کرده است و همچنین روشی ارائه داده است که اگر شخصی سعی در استفاده از این ضعف امنیتی در شبکه شما داشته باشد آن را شناسایی و از اقدامات مخرب وی جلوگیری می کند.
رفع باگ ریموت دسکتاپ ویندوز 2008 با آپدیت ویندوز
اگر از ویندوز های ذکر شده از جمله ویندوز 2008r2 روی رایانه ، سرور ، یا سرور مجازی خود استفاده می کنید را هر چه سریعتر کلیه آپدیت های امنیتی را نصب کنید ، این نقطه ضعف امنیتی سیستم عامل های ویندوز های XP، ۲۰۰۳، ۷، ۲۰۰۸ و ۲۰۰۸ R2 را تحت تاثیر قرار داده است.
آپدیت های منتشر شده توسط مایکروسافت از طریق لینک های زیر قابل دریافت می باشد:
| Download Link | Operation System |
| Download | Windows XP SP3 |
| Download | Windows XP Embedded 32-bit |
| Download | Windows Server 2003 64-bit |
| Download | Windows Server 2003 32-bit |
| Download | Windows XP SP2 64-bit |
| Download | Windows XP SP3 for XPe |
| Download | Windows Server 2008 Itanium-based |
| Download | Windows Server 2008 64-bit |
| Download | Windows Server 2008 32-bit |
| Monthly Rollup / Security Only | Windows 7 SP1 32-bit |
| Monthly Rollup / Security Only | Windows 7 SP1 64-bit |
| Monthly Rollup / Security Only | Windows Server 2008 SP2 32-bit |
| Monthly Rollup / Security Only | Windows Server 2008 SP2 32-bit (Server Core installation) |
| Monthly Rollup / Security Only | Windows Server 2008 SP2 64-bit |
| Monthly Rollup / Security Only | Windows Server 2008 SP2 64-bit (Server Core installation) |
| Monthly Rollup / Security Only | Windows Server 2008 R2 SP1 64-bit |
| Monthly Rollup / Security Only | Windows Server 2008 R2 SP1 64-bit (Server Core installation) |
| Monthly Rollup / Security Only | Windows 7 Embedded 64-bit |
| Monthly Rollup / Security Only | Windows 7 Embedded 32-bit |
کاهش ریسک CVE-2019-0708
روش ذکر شده زیر ممکن است در موقعیت شما مناسب باشد ، در همه شرایط مایکروسافت توسه میکند که آپدیت های امنیتی را رفع کنید، حتی اگر برنامه ای برای غیر فعال کردن کامل سرویس ریموت دسکتاپ دارید باز آپدیت ها را نصب کنید
1. سرویس های ریموت دسکتاپ را غیر فعال کنید اگر به آنها نیاز ندارید
جلوگیری و محدودیت از اجرای CVE-2019-0708
1. فعال کردن NLA یا Network Level Authentication
روی سیستم هایی با سیستم عامل Windows 7 , Windows Server 2008 m Windows Server 2008 R2 T با فعال کردن احراز هویت در سطح شبکه میتوانید جلوی حمله کننده های غیر مجاز را برای بکارگیری این باگ بگیرید ، در صورتی که NLA روشن باشد حمله کننده قبل از از خرابکاری و سوء استفاده از این باگ باید بتواند در ریموت دسکتاپ سرویسز احراز هویت شود ،
2. مسدود کردن پورت TCP 3389 در فایروال سازمان
TCP port 3389 is used to initiate a connection with the affected component. Blocking this port at the network perimeter firewall will help protect systems that are behind that firewall from attempts to exploit this vulnerability. This can help protect networks from attacks that originate outside the enterprise perimeter. Blocking the affected ports at the enterprise perimeter is the best defense to help avoid Internet-based attacks. However, systems could still be vulnerable to attacks from within their enterprise perimeter.
موفق باشید
