رفع مشکل صفحه‌ی آبی مرگ در سوءاستفاده‌ی BlueKeep 

سه‌شنبه ۱۲ آذر ۱۳۹۸
در پی حملات گسترده‌ی مبتنی بر آسیب‌پذیریBlueKeep، مایکروسافت افراد را وادار کرده است سیستم‌‌های ویندوزی خود را وصله کنند.
مرکز آپا شریف
SUT-APA-LOGO

در پی حملات گسترده‌ی مبتنی بر آسیب‌پذیریBlueKeep، مایکروسافت افراد را وادار کرده است سیستم‌‌های ویندوزی خود را وصله کنند.
آسیب‌پذیری BlueKeep با شناسه‌ی CVE-2019-0708 اولین بار در ماه می سال 2019 افشا شد. این نقص سرویس‌های Remote Desktop ویندوز (RDS) را تحت‌تأثیر قرارمی‌دهد و به یک مهاجم احرازهویت‌نشده اجازه می‌دهد کد دلخواه را با ارسال درخواست‌هایRemote Desktop Protocol (RDP)، اجرا کند.مایکروسافت وصله‌های این نقص را، همچنین برای نسخه‌های پشتیبانی‌نشده، در ماه می منتشر کرده است.
حملات BlueKeep از یک سوءاستفاده‌ی مبتنی بر یک ماژول Metasploit ارایه‌شده در ماه سپتامبر است. MetaSploit چارچوبی متن‌باز است که دارای سوءاستفاده‌های بسیاری است و با استفاده از آن می‌توان از آسیب‌پذیری‌های موجود در سیستم‌ها، شبکه‌ها و نرم‌افزارهای گوناگون سوءاستفاده کرد. به این چارچوب می‌توان سوءاستفاده نیز اضافه کرد.
ماژول BlueKeepMetasploit توسط یک محقق امنیتی به نام  Sean Dillon ارایه شده است. این سوءاستفاده، به جای ارایه‌ی ارزرمزنگاری Monero به مهاجمان، منجر به سقوط بسیاری از سیستم‌های هدف با خطای صفحه‌ی آبی مرگ (BSOD) شد و همین امر باعث شد محققان این حملات را کشف کنند. محقق امنیتی به نام Kevin Beaumont که معمولاً بر شبکه‌هایی‌ از دستگاه‌های هانی‌پات به منظور شناسایی حملات BlueKeep نظارت می‌کند، پس از آنکه متوجه شد 10 دستگاه از 11 هانی‌پات‌های RDP، با یک خطای BSOD مواجه شده‌اند، پی به این حملات برد. Dillon علت اصلی صفحه‌ی آبی مرگ را وصله‌ی مایکروسافت برای یک آسیب‌پذیریIntel CPU معروف به Meltdown، می‌داند. زیرا این سوءاستفاده از هسته‌های با MeltDown پشتیبانی نمی‌کند.
این محقق امنیتی(Dillon)سوءاستفاده‌ی جدیدی ارایه داده است که آن را قابل اعتمادتر می‌سازد. سوءاستفاده‌ی جدید BlueKeep روال سوءاستفاده را در اوایل حمله‌ی BlueKeepتغییر می‌دهد بنابراین حتی نیازی به دورزدن KVA Shadowنیست (KVA Shadowنامی است که مایکروسافت به وصله‌ی MeltDown می‌دهد).
مایکروسافت یک بار دیگر به مشتریان توصیه کرده است وصله‌ها را نصب کنند و هشدار داده است که احتمالاً از این سوءاستفاده برای ارایه‌ی خرابکاری‌های”تأثیرگذارتر و آسیب‌رسان‌تر” نیز استفاده خواهد شد.
حملات اخیر BlueKeep  شامل مؤلفه‌ی خودانتشاری نبوده است، این در حالی است که مایکروسافت نگران این بود از آسیب‌پذیری BlueKeep برای ایجاد کرم استفاده شود؛ مشابه روشی که از سوءاستفاده EternalBlueدر سال 2017 توسط باج‌افزار WannaCryاستفاده شده بود.
به گفته‌ی محققان امنیتی، مهاجمان برای اینکه حملات مخرب‌تری داشته باشند، نیاز به ایجاد کرم ندارند و کاربران نباید به صرف اینکه در حملات BlueKeepکرمی ایجاد نشده است، آن را نادیده بگیرند، زیرا اکثر دستگاه‌های آسیب‌پذیر BlueKeep، کارگزار هستند. کارگزارهای ویندوزی، قابلیت کنترل دستگاه‌ها در شبکه را دارند. آن‌ها یا مدیر دامنه هستند که ابزارهای مدیریت دامنه در آن‌‌ها نصب شده است یا اعتبارنامه‌های همان مدیر داخلی را با بقیه‌ی شبکه به اشتراک می‌گذارد. با به خطر انداختن کارگزار یک شبکه،استفاده از ابزارهای خودکار برای انتشار در داخل شبکه تقریباً همیشه آسان است. خطراصلی BlueKeep ایجاد کرم نیست،کرم بی‌معنی و پر سر و صداست. یک مهاجم در شبکه می‌تواند آسیب بسیار بیشتری را با ابزارهای خودکار استاندارد نسبت به آنچه که با BlueKeep انجام می‌دهند، وارد کند.
هنوزهم تقریباً 700000 سیستم آسیب‌پذیر به حملات BlueKeep وجوددارد و متأسفانه به نظر نمی‌رسد پوشش رسانه‌ای حملات اخیر تأثیری در میزان وصله‌کردن کاربران از دستگاه‌های خود داشته باشد.