پروتکل CredSSP یک ارائه دهنده احراز هویت است که درخواستهای احراز هویت برای سایر برنامهها همچون Remote Desktop در سیستمهای عامل خانوادهی ویندوز را پردازش میکند. آسیبپذیری بحرانی جدید کشف شده با کد CVE-2018-0886 مربوط به این پروتکل، امکان اجرای دستوراتاز راه دور در سیستمهای هدف را با تکیه بر مجوزهای دسترسی کاربران فراهم میکند. برنامههایی که برای احراز هویت به این پروتکل وابسته هستند، ممکن است در برابر این نوع از حملات آسیبپذیر باشند. مهاجم جهت سوء استفاده از این آسیبپذیری نیازمند دسترسی به موقعیت فرد میانی (MITM) بین سیستم عامل سرویسدهنده پروتکل RDP و کلاینت است. با اجرای یک حمله موفق، مهاجم قادر خواهد بود برنامههای مورد نظر خود را اجرا کند، دادهها را تغییر داده و یا حذف کند و یا حسابهای کاربری جدیدی برای داشتن اختیارات و سطح دسترسی کامل در سیستم ایجاد نماید. حملات فرد میانی میتواند در زمان استفاده از شبکههای بیسیم عمومی یا در زمانی که شبکه محلی به صورت مستقیم یا با واسطه در دسترس مهاجم قرار گرفته است یا حتی در زمانی که از طریق آلودگی به یک بدافزار، ترافیک رایانه مورد استفاده توسط قربانی در اختیار مهاجم قرار گرفته، اتفاق بیافتد.
آسیبپذیری مذکور در تمامی نسخههای ویندوز وجود دارد اما خوشبختانه وصلههای امنیتی مورد نیاز آن در آخرین بروزرسانی مایکروسافت در تاریخ ۱۳ مارچ ارائه شده است.
بنا بر توصیه ی مایکروسافت، برای پیشگیری از حملات با استفاده از آسیبپذیری این پروتکل باید علاوه بر اطمینان از بروزرسانی و نصب وصله امنیتی ارائه شده بر روی تمامی سرورها و کلاینتها، نسبت به تنظیم Group Policy در همه سیستمها جهت جلوگیری از برقراری ارتباط با سیستمهای وصله نشده اقدام نمود.
جزییات بیشتر در خصوص این آسیبپذیری و نحوه تنظیم Group Policyدر لینکهای زیر در دسترس است:
https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0886
- 10