إن مشكلة عدم حصانة BlueKeep (CVE-2019-0708) للإصدارات القديمة من Windows ، والتي تهدف إلى تنفيذ بروتوكول RDP ، لم يتح لها الوقت لإحداث
ضجيج ، فقد حان الوقت لوضع التصحيحات مرة أخرى. الآن جميع الإصدارات الجديدة من Windows في المنطقة المتأثرة. إذا قمت بتقييم التهديد المحتمل من استغلال الثغرات الأمنية من خلال هجوم مباشر من الإنترنت باستخدام طريقة WannaCry ، فهذا مناسب لعدة مئات الآلاف من المضيفين في العالم وعشرات الآلاف من المضيفين في روسيا.
تفاصيل وتوصيات للحماية تحت خفض.
ثغرات RCE المنشورة في RDS Remote Desktop Services على Windows (CVE-2019-1181 / 1182) ، إذا تم استغلالها بنجاح ، فسمح لمهاجم غير مصادق بتنفيذ التعليمات البرمجية على النظام الذي يتعرض للهجوم عن بُعد.
لاستغلال الثغرات الأمنية ، يكفي أن يقوم المهاجم بإرسال طلب معد خصيصًا إلى خدمة سطح المكتب البعيد للأنظمة المستهدفة التي تستخدم RDP (بروتوكول RDP نفسه ليس عرضة للخطر).
من المهم الإشارة إلى أن أي برامج ضارة تستغل هذه الثغرة الأمنية يمكن أن تنتشر من جهاز كمبيوتر ضعيف إلى آخر ، على غرار انتشار البرامج الضارة WannaCry في جميع أنحاء العالم في عام 2017. للتشغيل الناجح ، تحتاج فقط إلى أن يكون لديك وصول شبكة مناسب إلى مضيف أو خادم بإصدار مستضعف من نظام تشغيل Windows ، بما في ذلك إذا تم نشر خدمة النظام على المحيط.
إصدارات Windows OS المتأثرة:
- ويندوز 10 ل 32 بت / إلى x64
- إصدار Windows 10 1607 للأنظمة المستندة إلى 32 بت / x64
- إصدار Windows 10 1703 للأنظمة المستندة إلى 32 بت / x64
- إصدار Windows 10 1709 للأنظمة المستندة إلى 32 بت / x64
- Windows 10 الإصدار 1709 للأنظمة المستندة إلى ARM64
- إصدار Windows 10 1803 للأنظمة المستندة إلى 32 بت / x64
- Windows 10 الإصدار 1803 للأنظمة المستندة إلى ARM64
- إصدار Windows 10 1809 للأنظمة المستندة إلى 32 بت / x64
- إصدار Windows 10 1809 للأنظمة المستندة إلى ARM64
- إصدار Windows 10 1903 للأنظمة المستندة إلى 32 بت / x64
- إصدار Windows 10 1903 للأنظمة المستندة إلى ARM64
- نظام التشغيل Windows 7 لأنظمة الخدمة Service Pack 1 التي تستند إلى 32 بت / x64
- Windows 8.1 للأنظمة التي تستند إلى 32 بت / x64
- ويندوز RT 8.1
- Windows Server 2008 R2 للأنظمة المستندة إلى إيتانيوم المزود بحزمة الخدمة Service Pack 1
- Windows Server 2008 R2 للأنظمة المستندة إلى x64 إلى Service Pack 1
- ويندوز سيرفر 2012
- خادم ويندوز 2012 R2
- خادم ويندوز 2016
- خادم ويندوز 2019
ونحن نوصي بما يلي:
- قم بتثبيت التحديثات الضرورية لنظام التشغيل Windows الضعيف ، بدءًا من العقد الموجودة على المحيط وكذلك للبنية التحتية بالكامل ، وفقًا لإجراءات إدارة الثغرات الأمنية للشركة:
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182 - إذا كانت هناك خدمة RDP منشورة على المحيط الخارجي لنظام تشغيل عرضة للتأثر ، فيمكنك تقييد الوصول (الإغلاق) للقضاء على الثغرات الأمنية.
في الوقت الحالي ، لا توجد معلومات حول وجود PoC / استغلال / استغلال نقاط الضعف هذه ، لكننا لا نوصي بتأخير التصحيحات ، وغالبًا ما يكون ظهورها مسألة عدة أيام.
التدابير التعويضية الإضافية الممكنة:
- تمكين مصادقة مستوى الشبكة (NLA). ومع ذلك ، ستظل الأنظمة الضعيفة عرضة لتنفيذ التعليمات البرمجية عن بُعد (RCE) إذا كان لدى المهاجم بيانات اعتماد صالحة يمكن استخدامها للمصادقة الناجحة.
- اغلاق مؤقت لبروتوكول RDP للإصدارات الضعيفة من نظام التشغيل حتى تثبيت التحديثات ، واستخدام طرق بديلة للوصول عن بعد إلى الموارد.