مایکروسافت برای دو آسیب پذیری جدید و بسیار مهم اجرای کد ریموت (RCE) را که در سرویس های ریموت دسکتاپ (RDS) مشاهده شد و بر تمام نسخه های تحت پشتیبانی ویندوز تأثیرگذارند منتشر کرد.
مرکز پاسخگویی امنیتی مایکروسافت (MSRC) از کاربران خواست به دلیل ریسک ناشی از آسیب پذیری هایی که قابلیت تبدیل شدن به حفره امنیتی دارند، نقایص امنیتی جدید ویندوز را هر چه زودتر پچ کنند.
دو نقص امنیتی مهم RCE با عناوین CVE-2019-1181 و CVE-2019-1182 ردگیری شده اند و به گفته سیمون پاپ (Simon Pope)، رئیس بخش پاسخگویی به حوادث MSRC «درست مثل آسیب پذیری BlueKeep که در گذشته برطرف شد (CVE-2019-0708) این دو آسیب پذیری هم از «قابلیت تبدیل شدن به خطر» برخوردارند، بدین معنا که هر بدافزاری در آینده از اینها استفاده کند می تواند بدون تعامل کاربر، اطلاعات کامپیوتر آسیب پذیر را جمع آوری کند«
پاپ افزود: «نسخه هایی از ویندوز که تحت تأثیر قرار گرفته اند شامل Windows 7 SP1، Windows Server 2008 R2 SP1، Windows Server 2012، Windows 8.1، Windows Server 2012 R2 و تمام نسخه های تحت پشتیبانی ویندوز 10 از جمله نسخه های سرور می شوند«.
پروتکل ریموت دسکتاپ (RDP) و همچنین ویندوز XP، ویندوز سرور 2003 و ویندوز سرور 2008 تحت تأثیر نقایص امنیتی پچ شده جدید قرار نگرفته اند.
مایکروسافت برای این دو مسئله امنیتی اعلام کرد:
هنگامی که مهاجم نامعتبر با استفاده از RDP به سیستم هدف متصل می شود و درخواست های ویژه خود را ارسال می کند، آسیب پذیری اجرای کد از راه دور در سرویس های ریموت دسکتاپ (که قبلاً با نام Terminal Services شناخته می شد) ایجاد می شود. این آسیب پذیری متعلق به قبل از شناسایی است و نیازمند تعامل کاربر نیست. مهاجمی که در استفاده از این آسیب پذیری موفق عمل کند می تواند کدهای دلخواه خود را بر روی سیستم هدف اجرا کند. پس از آن مهاجم می تواند برنامه های مورد نظر خود را نصب کند، داده های را مشاهده یا حذف نماید یا تغییر دهد یا حساب های جدیدی ایجاد کند که تمام حقوق کاربر را دارند.
مهاجمین از طریق RDP می توانند درخواست های ویژه خود را به RDS سیستم های ویندوزی پچ نشده هدف ارسال کنند و از این دو آسیب پذیری با قابلیت تبدیل شدن به خطر ، سوء استفاده نمایند.
به روزرسانی های امنیتی که امروز توسط مایکروسافت منتشر شد «با تصحیح نحوه مدیریت درخواست های اتصال توسط RDS» این نقص را برطرف کردند».
پاپ در ادامه توضیحات اظهار داشت: «این آسیب پذیری ها در طول تقویت RDS که بخشی از تمرکز ما بر تقویت امنیت محصولاتمان محسوب می شود کشف شد. در حال حاضر هیچ مدرکی مبنی بر شناسایی این آسیب پذیری ها توسط اشخاص ثالث در دست نداریم».
به منظور کاهش موقتی خطر، کاربرانی که نمی توانند فوراً سیستم های خود را پچ کنند می توانند با فعال سازی شناسایی سطح شبکه (NLA) از سیستم های خود محافظت نمایند چون «قبل از انکه هکر بتواند از اسیب پذیری استفاده کند، NLA به شناسایی نیاز دارد».
پاپ در خاتمه سخنان گفت: «اما اگر مهاجمین اعتبارنامه های معتبری داشته باشند که برای شناسایی قابل استفاده باشند، سیستم های تحت تأثیر ، همچنان نسبت به سوء استفاده از اجرای کد ریموت (RCE) آسیب پذیر خواهند بود.
مایکروسافت در 14 می آسیب پذیری RCE بسیار مهم مشابهی را پچ کرد که در پلتفرم RDS کشف شد (که بعداً BlueKeep نام گرفت به عنوان CVE-2019-0708 ردگیری شد). BlueKeep یک نقص امنیتی بود که به عامل تهدید اجازه می داد بدافزاری ایجاد کند که میان دیوایس های ویندوزی دارای RDS آسیب پذیر قابل انتشار است.
از آن زمان به بعد محققین Intezer Labs در اواخر جولای و در گونه ای جدید از بدافزار Watchbog، ماژول اسکنر برای کشف کامپیوترهای ویندوزی آسیب پذیر شده با BlueKeep را پیدا کردند.
شرکت های امنیتی نیز بلافاصله اعلام کردند با انتشار نسخه 7.23 در تاریخ 23 جولای، ماژول کاملاً عملی BlueKeep RCE exploit has را در ابزارهای تست نفوذ CANVAS خود جای داده اند.
کاربران ویندوز نیز چهار هشدار جداگانه برای پچ کردن سیستم های خود در مقابل BlueKeep دریافت کردند. یکی از این هشدارها از طرف CISA، دو هشدار بعدی از طرف مایکروسافت و هشدار آخر از سازمان امنیت ملی ایالات متحده بود.
مرکز پاسخگویی امنیتی مایکروسافت (MSRC) از کاربران خواست به دلیل ریسک ناشی از آسیب پذیری هایی که قابلیت تبدیل شدن به حفره امنیتی دارند، نقایص امنیتی جدید ویندوز را هر چه زودتر پچ کنند.
دو نقص امنیتی مهم RCE با عناوین CVE-2019-1181 و CVE-2019-1182 ردگیری شده اند و به گفته سیمون پاپ (Simon Pope)، رئیس بخش پاسخگویی به حوادث MSRC «درست مثل آسیب پذیری BlueKeep که در گذشته برطرف شد (CVE-2019-0708) این دو آسیب پذیری هم از «قابلیت تبدیل شدن به خطر» برخوردارند، بدین معنا که هر بدافزاری در آینده از اینها استفاده کند می تواند بدون تعامل کاربر، اطلاعات کامپیوتر آسیب پذیر را جمع آوری کند«
پاپ افزود: «نسخه هایی از ویندوز که تحت تأثیر قرار گرفته اند شامل Windows 7 SP1، Windows Server 2008 R2 SP1، Windows Server 2012، Windows 8.1، Windows Server 2012 R2 و تمام نسخه های تحت پشتیبانی ویندوز 10 از جمله نسخه های سرور می شوند«.
پروتکل ریموت دسکتاپ (RDP) و همچنین ویندوز XP، ویندوز سرور 2003 و ویندوز سرور 2008 تحت تأثیر نقایص امنیتی پچ شده جدید قرار نگرفته اند.
مایکروسافت برای این دو مسئله امنیتی اعلام کرد:
هنگامی که مهاجم نامعتبر با استفاده از RDP به سیستم هدف متصل می شود و درخواست های ویژه خود را ارسال می کند، آسیب پذیری اجرای کد از راه دور در سرویس های ریموت دسکتاپ (که قبلاً با نام Terminal Services شناخته می شد) ایجاد می شود. این آسیب پذیری متعلق به قبل از شناسایی است و نیازمند تعامل کاربر نیست. مهاجمی که در استفاده از این آسیب پذیری موفق عمل کند می تواند کدهای دلخواه خود را بر روی سیستم هدف اجرا کند. پس از آن مهاجم می تواند برنامه های مورد نظر خود را نصب کند، داده های را مشاهده یا حذف نماید یا تغییر دهد یا حساب های جدیدی ایجاد کند که تمام حقوق کاربر را دارند.
مهاجمین از طریق RDP می توانند درخواست های ویژه خود را به RDS سیستم های ویندوزی پچ نشده هدف ارسال کنند و از این دو آسیب پذیری با قابلیت تبدیل شدن به خطر ، سوء استفاده نمایند.
به روزرسانی های امنیتی که امروز توسط مایکروسافت منتشر شد «با تصحیح نحوه مدیریت درخواست های اتصال توسط RDS» این نقص را برطرف کردند».
پاپ در ادامه توضیحات اظهار داشت: «این آسیب پذیری ها در طول تقویت RDS که بخشی از تمرکز ما بر تقویت امنیت محصولاتمان محسوب می شود کشف شد. در حال حاضر هیچ مدرکی مبنی بر شناسایی این آسیب پذیری ها توسط اشخاص ثالث در دست نداریم».
به منظور کاهش موقتی خطر، کاربرانی که نمی توانند فوراً سیستم های خود را پچ کنند می توانند با فعال سازی شناسایی سطح شبکه (NLA) از سیستم های خود محافظت نمایند چون «قبل از انکه هکر بتواند از اسیب پذیری استفاده کند، NLA به شناسایی نیاز دارد».
پاپ در خاتمه سخنان گفت: «اما اگر مهاجمین اعتبارنامه های معتبری داشته باشند که برای شناسایی قابل استفاده باشند، سیستم های تحت تأثیر ، همچنان نسبت به سوء استفاده از اجرای کد ریموت (RCE) آسیب پذیر خواهند بود.
مایکروسافت در 14 می آسیب پذیری RCE بسیار مهم مشابهی را پچ کرد که در پلتفرم RDS کشف شد (که بعداً BlueKeep نام گرفت به عنوان CVE-2019-0708 ردگیری شد). BlueKeep یک نقص امنیتی بود که به عامل تهدید اجازه می داد بدافزاری ایجاد کند که میان دیوایس های ویندوزی دارای RDS آسیب پذیر قابل انتشار است.
از آن زمان به بعد محققین Intezer Labs در اواخر جولای و در گونه ای جدید از بدافزار Watchbog، ماژول اسکنر برای کشف کامپیوترهای ویندوزی آسیب پذیر شده با BlueKeep را پیدا کردند.
شرکت های امنیتی نیز بلافاصله اعلام کردند با انتشار نسخه 7.23 در تاریخ 23 جولای، ماژول کاملاً عملی BlueKeep RCE exploit has را در ابزارهای تست نفوذ CANVAS خود جای داده اند.
کاربران ویندوز نیز چهار هشدار جداگانه برای پچ کردن سیستم های خود در مقابل BlueKeep دریافت کردند. یکی از این هشدارها از طرف CISA، دو هشدار بعدی از طرف مایکروسافت و هشدار آخر از سازمان امنیت ملی ایالات متحده بود.