ایران وارد مکاتبه با تیمهای واکنش سریع دنیا شد
آسیبپذیری CredSSP و انتشار باجافزارهای مختلف از طریق این پروتکل در فضای مجازی، شبکه هانینت کشور را مشغول خود کرد.
با توجه به تهدیدات سایبری گسترده اخیر درباره سوءاستفاده و نفوذ از طریق پروتکل RDP از جمله شناسایی آسیبپذیری CredSSP و انتشار باجافزارهای مختلف از طریق این پروتکل، تمرکز بیشتری در رصد فعالیتها و حملات بر این بستر از طریق شبکه هانینت مرکز ماهر صورت گرفته است.
در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرسهای IP داخل و خارج از کشور شده است که به نحوی مورد سوءاستفاده قرار گرفته و در حال تلاش برای آسیبرسانی و ورود به سامانهها از طریق این پروتکل هستند.
اطلاعرسانی و پیگیری رفع آلودگی یا سوءاستفاده از این IPها از طریق مالکان آدرسهای داخلی توسط مرکز ماهر در حال انجام است.
همچنین به گفته این مرکز مکاتبه با CERTهای ملی کشورهای خارجی برای مقابله در جریان است؛ تأکید شده به منظور رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پروتکلهای دسترسی راهدور نظیر telnet و SSH بر روی شبکه اینترنت اکیدا خودداری شود.
در صورت نیاز، دسترسی به این سرویسها را تنها بر بستر VPN یا برای آدرسهای مبدأ مشخص و محدود برقرار شود.
به گزارش تسنیم، پروتکل CredSSP یک ارائه دهنده احراز هویت است که درخواستهای احراز هویت برای سایر برنامهها همچون Remote Desktop در سیستمهای عامل خانواده ویندوز را پردازش میکند.
آسیبپذیری بحرانی جدید کشف شده با کد CVE-2018-0886 مربوط به این پروتکل، امکان اجرای دستورات از راه دور در سیستمهای هدف را با تکیه بر مجوزهای دسترسی کاربران فراهم میکند؛ برنامههایی که برای احراز هویت به این پروتکل وابسته هستند، ممکن است در برابر این نوع از حملات آسیبپذیر باشند.
مهاجم برای سوء استفاده از این آسیبپذیری نیازمند دسترسی به موقعیت فرد میانی (MITM) بین سیستم عامل سرویسدهنده پروتکل RDP و کلاینت است.
با اجرای یک حمله موفق، مهاجم قادر خواهد بود برنامههای مورد نظر خود را اجرا کند، دادهها را تغییر داده، حذف یا حسابهای کاربری جدیدی برای داشتن اختیارات و سطح دسترسی کامل در سیستم ایجاد کند.
حملات فرد میانی میتواند در زمان استفاده از شبکههای بیسیم عمومی یا در زمانی که شبکه محلی به صورت مستقیم یا با واسطه در دسترس مهاجم قرار گرفته است یا حتی در زمانی که از طریق آلودگی به یک بدافزار، ترافیک رایانه مورد استفاده توسط قربانی در اختیار مهاجم قرار گرفته، اتفاق بیفتد.
آسیبپذیری مذکور در تمامی نسخههای ویندوز وجود دارد اما خوشبختانه وصلههای امنیتی مورد نیاز آن در آخرین بروزرسانی مایکروسافت در تاریخ 13 مارس ارائه شده است.
بنا بر توصیه مایکروسافت، برای پیشگیری از حملات با استفاده از آسیبپذیری این پروتکل باید علاوه بر اطمینان از بروزرسانی و نصب وصله امنیتی ارائه شده بر روی تمامی سرورها و کلاینتها، نسبت به تنظیم Group Policy در همه سیستمها برای جلوگیری از برقراری ارتباط با سیستمهای وصله نشده اقدام کرد.