مایکروسافت در تاریخ 13 آگوست 2019 (22 مرداد 98) تعدادی وصله امنیتی برای برطرفسازی دو آسیبپذیری بحرانی از نوع Remote Code Execution (RCE) در سرویس ریموت دسکتاپ (#RDP) با شناسههای CVE-2019-1181 ،CVE-2019-1182 ،CVE-2019-1222 و CVE-2019-1226 ارائه نمود.
به گزارش مرکز پاسخدهی به حوادث سایبری مایکروسافت، آسیبپذیریهای مورد اشاره که ویندوزهای 7 SP1 ، Server 2008 R2 SP1 ، Server 2012 ، 8.1 ، Server 2012 R2 و تمامی نسخههای ویندوز 10 شامل نسخههای سرور آن را تحت تأثیر قرار میدهند.(آسیب پذیری های CVE-2019-1222 و CVE-2019-1226 مربوط به ویندوز 10 و ویندوز سرور میباشند) بر اساس این آسیب پذیری، هنگامی که یک مهاجم از طریق پروتکل RDP با ارسال درخواستهایی با سیستم هدف ارتباط برقرار میکند، به علت اینکه این آسیب پذیریها مربوط به پیش از احراز هویت میباشند، به هیچ گونه تعامل با کاربر نیاز ندارد. لذا در صورت سوءاستفاده مهاجمین از این آسیب پذیریها، امکان اجرای کد دلخواه از راه دور بر روی سیستم هدف و کنترل کامل سیستم عامل قربانی وجود خواهد داشت. وصله امنیتی منتشر شده توسط مایکروسافت با اصلاح نحوه پاسخگویی به درخواست های اتصال در سرویس ریموت دسکتاپ امکان این سوءاستفاده را از بین میبرد.
تجارب گذشته در خصوص حملات گسترده مبتنی بر آسیبپذیری (از جمله باجافزار واناکرای) در سطح اینترنت نشان میدهد که معمولاً پس از گذشت مدتی از انتشار آسیبپذیریها و وصلههای امنیتی مربوط به آنها، سیستمهای در معرض خطر که در آنها آسیبپذیری مذکور مرتفع نشده، هم خود مورد حملات متعدد قرار گرفته و هم از آنها برای حمله به سیستمها و شبکههای دیگر بهرهبرداری میگردد.
لذا با توجه به اهمیت موضوع، به تمام مدیران و راهبران شبکه توصیه اکید میگردد که قبل از انتشار کدهای مخرب برای سوءاستفاده از این آسیبپذیریها، نسبت به رفع آنها در سیستمعاملهای مجموعه تحت مدیریت خود اقدامات لازم را در دستور کار قرار دهند. وصلههای امنیتی منتشرشده برای آسیبپذیریهای مذکور از وبسایت رسمی مایکروسافت به آدرسهای زیر قابل دریافت است. همچنین کاربران با فعالسازی قابلیت بهروزرسانی خودکار ویندوز نیز قادر به دریافت این وصلهها میباشند.
MITRE CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
MITRE CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
در پایان توصیه میگردد با توجه به سوءاستفاده اکثر مهاجمین و بدافزارها از سرویس ریموت دسکتاپ، اولاً این سرویس در صورت امکان مسدود گردد. ثانیاً در صورت ضرورت استفاده، با رعایت ملاحظات امنیتی و اعمال سیاستهای امنیتی مناسب در فایروال بکار گرفته شود.
- 28