هشدار محققان درباره

اسکن اینترنت توسط هکرها به دنبال یافتن دستگاه‌های آسیب‌پذیر در برابر بلوکیپ «BlueKeep»

یافته‌های جدید محققان امنیتی نشان می‌دهد که پس از انتشار خبر آسیب‌پذیری بلوکیپ، مهاجمان سایبری به‌صورت گسترده شروع به اسکن اینترنت کرده‌اند تا سیستم‌هایی که دربرابر ضعف پروتکل دسترسی از راه دور به دسکتاپ در سیستم عامل ویندوز آسیب‌پذیر هستند را پیدا کنند. آسیب‌پذیری بلوکیپ در پروتکل RDP، امکان سوءاستفاده‌های مختلف مانند انتشار باج‌افزار و کرم‌های خود تکثیرشونده را برای هکرها فراهم می‌سازد.

آسیب‌پذیری بلوکیپ «BlueKeep» که با شناسه CVE-2019-0708 ثبت و پیگیری می‌شود، روی سرویس پروتکل دسترسی از راه دور به دسکتاپ (RDP) موجود در نسخه‌های قدیمی‌تر سیستم عامل ویندوز مانند XP، ویندوز ۷، سرور ۲۰۰۳ و سرور ۲۰۰۸ تاثیر می‌گذارد و به‌طور خلاصه باید گفت که مهاجمان از طریق بهره‌برداری از این آسیب‌پذیری، می‌توانند بدون نیاز به نام کاربری و گذرواژه، از راه دور به دستگاه‌های آسیب‌پذیر متصل شوند و اقدامات مخرب خود را انجام دهند.

در همین رابطه، شرکت مایکروسافت اصلاحیه‌ امنیتی ویژه‌ای را برای این آسیب‌پذیری در مجموعه به‌روزرسانی‌های ماه می خود منتشر کرده است که طی آن، از آن‌جایی که این مساله در رده آسیب‌پذیری‌های بحرانی قرار دارد، به کاربران و شرکت‌ها هشدار داده است که سیستم‌های آسیب‌پذیر خود را در اسرع وقت به‌روزرسانی کنند. همچنین مایکروسافت با توجه به اهمیت آسیب‌پذیری بلوکیپ، برای سیستم عامل‌های خارج از محدوده زمانی پشتیبانی رسمی، مانند ویندوز XP نیز اصلاحیه امنیتی منتشر کرد.

براساس اطلاعات موجود، بسیاری آسیب‌پذیری بلوکیپ را به بسته آسیب‌پذیری اترنال‌بلو «EternalBlue» که در سال ۲۰۱۷ همزمان با گسترش باج‌افزارهای واناکرای، نات‌پتیا و بدرابیت مورد استفاده قرار گرفته بود، تشبیه کرده‌اند. از طرفی در دو هفته گذشته، جامعه پژوهشگران امنیتی با تمرکز ویژه روی بلوکیپ، به‌دنبال نشانه‌های بهره‌برداری هکرها از این آسیب‌پذیری بوده‌اند که تا این لحظه به شواهدی دست یافته‌اند که نشان می‌دهد مهاجمان سایبری شروع به اسکن اینترنت برای یافتن دستگاه آسیب‌پذیر در برابر بلوکیپ کرده‌اند.

به گفته شرکت گری‌نویز، در حال حاضر کار انجام شده فقط اسکن اینترنت برای یافتن دستگاه‌های آسیب‌پذیر در برابر بلوکیپ بوده و هنوز تلاش برای بهره‌برداری واقعی صورت نگرفته است که به نظر می‌رسد که حداقل یک مهاجم ناشناس، تلاش زیادی را روی جمع‌آوری یک فهرست عظیم از سیستم‌های آسیب‌پذیر صرف کرده است که احتمالا قصد دارد از آن در اجرای حملات واقعی استفاده کند.

براساس خبرهای منتشر شده، شرکت‌هایی مانند زیرودیوم، چک‌پوینت، کسپرسکی، مک‌آفی، والتک و مالورتک تایید کرده‌اند که توانسته‌اند با موفقیت بسته‌های نفوذ بلوکیپ را توسعه دهند که البته قصد دارند آن‌ها را خصوصی نگه دارند.

از آن‌جایی که شش شرکت اظهار کرده‌اند دارای اکسپلویت خصوصی بلوکیپ هستند و حداقل دو نوشته با جزئیات کامل درباره آسیب‌پذیری بلوکیپ به صورت آنلاین منتشر شده است، می‌توان پیش‌بینی کرد که دیر یا زود، هکرها به‌صورت عمومی به کدها و روش‌های بهره‌برداری از این آسیب‌پذیری دست خواهند یافت.

 

 

توضیحات بیشتر در:

Intense scanning activity detected for BlueKeep RDP flaw
RDP Stands for “Really DO Patch!” – Understanding the Wormable RDP Vulnerability CVE-2019-0708
CVE-2019-0708 Technical Analysis  RDP-RCE