وبلاگ رسانگار
با ما حرفه ای باشید

سرور مجازی NVMe

CVE-2019-0708 – BlueKeep آسیب پذیری خطرناک ریموت دسکتاپ در ویندوز ۲۰۰۸

0 ۳۰۵
زمان لازم برای مطالعه: 3 دقیقه

با سلام 
آسیب پذیری خطرناکی بر روی ویندوز 7 ،  2008 و  2008R2 منتشر شده است که به مهاجم ناشناس اجازه اجرای کد مخرب را قبل از احراز هویت می دهد.

محققان امنیتی موفق به نوشتن یک Exploit برای اجرای راه دور کد های مخربی شدند که از طریق ضعف امنیتی در سرویس Remote Desktop شرکت مایکروسافت امکان نفوذ به شبکه هدف را می دهد. این ضعف امنیتی به BlueKeep معرف است و می توان آن را از طریق CVE-2019-0708 تعقیب کرد. این ضعف امنیتی برای اولین بار توسط (National Cyber Security Centre (NCSCانگلستان کشف و به صورت محرمانه به شرکت مایکروسافت اطلاع داده شده است.

لینک آسیب پذیری CVE-2019-0708 در پرتال مایکروسافت : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

لینک در سایت CVE : https://nvd.nist.gov/vuln/detail/CVE-2019-0708

 

برطرف کردن باگ CVE-2019-0708

به احتمال زیاد هکر های متعددی سعی دارند برنامه های مخربی بنویسند تا از طریق این ضعف امنیتی شبکه سازمان های مهم را و مورد حمله قرار دهند. این ضعف به حدی خطرناک است که امتیاز ۹٫۸ از ۱۰ به آن تعلق گرفته است و جزء ضعف های امنیتی فوق حساس (Critical) طبقه بندی می شود، همچنین این ضعف از نوع Wormable است و می تواند بعد از آلوده کردن یک سیستم به صورت خودکار به سیستم های دیگر حمله کند. از موارد آشنا که جزء Wormable ها طبقه بندی شده اند می توان به بدافزار WannaCry اشاره کرد که در سال ۲۰۱۷ به طور گسترده در سطح جهان اقدام به آلوده سازی سیستم ها نمود.

خبر خوشحال کننده این است که مایکروسافت در تاریخ ۱۴ می یک پچ برای بر طرف کردن این ضعف ارائه داده است. شدت این نقطه ضعف به حدی است که مایکروسافت برای سیستم عامل های از رده خارج خود مانند ویندوز XP و ۲۰۰۳ نیز پچ ارائه داده است. به احتمال زیاد به زودی هکر ها یک Exploit معتبر برای استفاده از این ضعف امنیتی تولید می کنند پس به شدت توصیه می شود کارشناسان امنیتی و ادمین ها اقدام به بروزرسانی سیستم ها کنند.

پیشنهاد می‎کنیم بخوانید:
Lepide Auditor Suite 19.0

Boris Larin از متخصصان شرکت کسپرسکی این ضعف امنیتی را بررسی کرده است و همچنین روشی ارائه داده است که اگر شخصی سعی در استفاده از این ضعف امنیتی در شبکه شما داشته باشد آن را شناسایی و از اقدامات مخرب وی جلوگیری می کند.

رفع باگ ریموت دسکتاپ ویندوز 2008 با آپدیت ویندوز

اگر از ویندوز های ذکر شده از جمله ویندوز 2008r2 روی رایانه ، سرور ، یا سرور مجازی خود استفاده می کنید را هر چه سریعتر کلیه آپدیت های امنیتی را نصب کنید ، این نقطه ضعف امنیتی سیستم عامل های ویندوز های XP، ۲۰۰۳، ۷، ۲۰۰۸ و ۲۰۰۸ R2 را تحت تاثیر قرار داده است.

آپدیت های منتشر شده توسط مایکروسافت از طریق لینک های زیر قابل دریافت می باشد:


Download Link Operation System
Download Windows XP SP3
Download Windows XP Embedded 32-bit
Download Windows Server 2003 64-bit
Download Windows Server 2003 32-bit
Download Windows XP SP2 64-bit
Download Windows XP SP3 for XPe
Download Windows Server 2008 Itanium-based
Download Windows Server 2008 64-bit
Download Windows Server 2008 32-bit
Monthly Rollup / Security Only Windows 7 SP1 32-bit
Monthly Rollup / Security Only Windows 7 SP1 64-bit
Monthly Rollup / Security Only Windows Server 2008 SP2 32-bit
Monthly Rollup / Security Only Windows Server 2008 SP2 32-bit (Server Core installation)
Monthly Rollup / Security Only Windows Server 2008 SP2 64-bit
Monthly Rollup / Security Only Windows Server 2008 SP2 64-bit (Server Core installation)
Monthly Rollup / Security Only Windows Server 2008 R2 SP1 64-bit
Monthly Rollup / Security Only Windows Server 2008 R2 SP1 64-bit (Server Core installation)
Monthly Rollup / Security Only Windows 7 Embedded 64-bit
Monthly Rollup / Security Only Windows 7 Embedded 32-bit
پیشنهاد می‎کنیم بخوانید:
آموزش تصویری رفع ارور ریموت دسکتاپ Authentication Error Occurred CredSSP

کاهش ریسک CVE-2019-0708

روش ذکر شده زیر ممکن است در موقعیت شما مناسب باشد ، در همه شرایط مایکروسافت توسه میکند که آپدیت های امنیتی را رفع کنید، حتی اگر برنامه ای برای غیر فعال کردن کامل سرویس ریموت دسکتاپ دارید باز آپدیت ها را نصب کنید

1. سرویس های ریموت دسکتاپ را غیر فعال کنید اگر به آنها نیاز ندارید

جلوگیری و محدودیت از اجرای CVE-2019-0708

1. فعال کردن NLA یا Network Level Authentication

روی سیستم هایی با سیستم عامل Windows 7 , Windows Server 2008 m Windows Server 2008 R2 T با فعال کردن احراز هویت در سطح شبکه میتوانید جلوی حمله کننده های غیر مجاز را برای بکارگیری این باگ بگیرید ، در صورتی که NLA روشن باشد حمله کننده قبل از از خرابکاری و سوء استفاده از این باگ  باید بتواند در ریموت دسکتاپ سرویسز احراز هویت شود ،

2. مسدود کردن پورت TCP 3389 در فایروال سازمان

TCP port 3389 is used to initiate a connection with the affected component. Blocking this port at the network perimeter firewall will help protect systems that are behind that firewall from attempts to exploit this vulnerability. This can help protect networks from attacks that originate outside the enterprise perimeter. Blocking the affected ports at the enterprise perimeter is the best defense to help avoid Internet-based attacks. However, systems could still be vulnerable to attacks from within their enterprise perimeter.

 

موفق باشید

دیدگاه شما در خصوص مطلب چیست ؟

آدرس ایمیل شما منتشر نخواهد شد.

لطفا دیدگاه خود را با احترام به دیدگاه های دیگران و با توجه به محتوای مطلب درج کنید