مايكروسوفت تحذر من علة ويندوز يمكن أن يؤدي إلى WannaCry آخر

تحذر Microsoft من أن الإنترنت قد يشهد استغلالًا آخر بحجم هجوم WannaCry الذي أدى إلى إيقاف تشغيل أجهزة الكمبيوتر في جميع أنحاء العالم قبل عامين ما لم يقم الناس بتصحيح مشكلة عدم الحصانة الشديدة. اتخذ صانع البرامج الخطوة غير الاعتيادية المتمثلة في دعم التصحيح الذي تم إصداره للتو لنظامي التشغيل Windows 2003 و XP ، اللذين لم يتم دعمهما خلال أربع وخمس سنوات على التوالي.

كتب سايمون بوب ، مدير الاستجابة للحوادث في مركز الاستجابة الأمنية من Microsoft ، في منشور منشور تزامن مع إصدار مايو أيار (مايو) من الثلاثاء: "هذه الثغرة الأمنية هي مصادقة مسبقة ولا تتطلب أي تدخل من المستخدم". "بمعنى آخر ، تكون الثغرة الأمنية" wormable "، وهذا يعني أن أي برامج ضارة في المستقبل تستغل هذه الثغرة الأمنية يمكن أن تنتشر من كمبيوتر ضعيف إلى كمبيوتر ضعيف بطريقة مماثلة لأن البرامج الضارة WannaCry انتشرت في جميع أنحاء العالم في عام 2017. بينما لم نلاحظ أي استغلال من هذه الثغرة الأمنية ، من المحتمل جدًا أن يكتب الممثلون الخبيثون استغلالًا لهذه الثغرة الأمنية ويدمجونها في البرامج الضارة الخاصة بهم. "

كما لو أن مشكلة عدم الحصانة في النسخ المتماثل للتنفيذ الذاتي ، لم تكن خطيرة بدرجة كافية ، يتطلب الأمر CVE-2019-0708 ، نظرًا لفهرسة الخلل في Windows Remote Desktop Services ، تعقيدًا منخفضًا لاستغلاله. تحسب حاسبة نظام تسجيل نقاط الضعف الشائعة من Microsoft هذا التعقيد على أنه 3.9 من أصل 10. (لكي نكون واضحين ، كان لدى مطوري WannaCry رمز استغلال فعال كتبته وكالة الأمن القومي وسرقته لاحقًا ، لاستغلال CVE-2017-0144 و wormable. عيوب CVE-2017-0145 ، التي استغلت التعقيدات التي تم تصنيفها على أنها "عالية".) في النهاية ، على الرغم من ذلك ، فإن تطوير شفرة استغلال موثوق بها لهذه الثغرة الأمنية الأخيرة في Windows سيتطلب القليل من العمل.

"إن استغلال الثغرة الأمنية ، كما هو موصوف في الاستشاري ، سيتطلب ببساطة من شخص أن يرسل حزمًا محددة عبر الشبكة إلى نظام ضعيف تتوفر به خدمة RDP" ، براين بارثولوميو ، باحث أول في الأمن في فريق البحث والتحليل العالمي في Kaspersky Lab. ، أخبر آرس في بريد إلكتروني. في الماضي ، كانت عمليات استغلال هذه الخدمة سهلة للغاية بمجرد عكس التصحيح. أفضل تخميني هو أن شخصًا ما سيصدر استغلالًا لهذا في الأيام القليلة المقبلة. "

وقال بارثولوميو أن جدران الحماية للشبكة وغيرها من الدفاعات التي تمنع خدمة RDP من شأنها أن توقف الهجوم بشكل فعال. ولكن كما علم العالم أثناء هجمات WannaCry ، غالبًا ما تفشل تلك التدابير في احتواء الضرر الذي قد يكلف جماعًا مليارات الدولارات.

قال الباحث المستقل كيفن بومون ، نقلاً عن استفسارات حول محرك البحث Shodan لأجهزة الكمبيوتر المتصلة بالإنترنت ، إن حوالي 3 ملايين نقطة نهائية من RDP تتعرض مباشرة.

security التحديث الأمني ​​المهم للغاية لنظام التشغيل Windows 🚨 يتيح CVE-2018-0708 تنفيذ التعليمات البرمجية عن بُعد غير المصادق عليه وهو RDP (سطح المكتب البعيد). شيء سيء للغاية يجب تصحيحه. حوالي 3 ملايين نقطة نهاية RDP تتعرض مباشرة للإنترنت. //t.co/EAdg3VNMjw pic.twitter.com/u2V3uyoyVs

- كيفن بومونت 🧝🏽‍♀️ (GossiTheDog) 14 مايو ، 2019

قال تود بيردسلي ، مدير الأبحاث في شركة الأمن Rapid7 ، إن هناك ماسح ضوئي بديل للإنترنت ، BinaryEdge ، يظهر أن هناك ما يقدر بنحو 16 مليون نقطة نهاية معرضة للإنترنت على منافذ TCP 3389 و 3388 ، والتي عادة ما تكون مخصصة لـ RDP.

وكتب بيردسلي في رسالة بريد إلكتروني: "إن RCE قبل المصادقة في RDP هي صفقة كبيرة للغاية". "في حين أننا غالباً ما نقدم النصيحة المعيارية بعدم تعريض RDP للإنترنت ، لا يزال الكثيرون يفعلون (عادةً عن طريق الصدفة). يبدو أن معظم حركة الهجوم التي نراها ضد RDP موجهة على وجه التحديد إلى أنظمة نقاط البيع ، لذلك أنا نتوقع وجود عدد لا بأس به من سجلات النقد خارج الدعم مع تعرض RDP للإنترنت. "

قامت شركة أمان مختلفة ، CyberX ، بتحليل حركة المرور من 850 نظام تكنولوجيا تشغيلية ، والتي تستخدم لإدارة خطوط إنتاج المصنع ، ومراقبة الغاز ، وأنواع أخرى من العمليات الصناعية. وجد الباحثون أن 53 بالمائة منهم يشغلون إصدارات غير مدعومة من Windows ، والتي من المحتمل أن يتأثر الكثير منها بالثغرة الأمنية المصححة للتو. ينجم الافتقار إلى الترقية من صعوبة أخذ أجهزة الكمبيوتر في وضع عدم الاتصال في بيئات مهمة حرجة تعمل باستمرار. قال Phil Neray ، نائب رئيس الأمن السيبراني الصناعي في CyberX ومقره بوسطن ، إن إجراء تدابير لوقف الفجوة لهذه الشركات هو تطبيق ضوابط تعويضية مثل تجزئة الشبكة والمراقبة المستمرة للشبكات.

ما هي الإصدارات عرضة للخطر؟

إلى جانب نظامي التشغيل Windows 2003 و XP ، تؤثر CVE-2019-0708 أيضًا على Windows 7 و Windows Server 2008 R2 و Windows Server 2008. في شهادة على تحسن أمان Microsoft بشكل مطرد ، لا تتعرض الإصدارات الأحدث من Windows للخطر.

كتب بوب: "لا يتأثر العملاء الذين يشغلون نظامي Windows 8 و Windows 10 بمشكلة عدم الحصانة هذه ، وليس من قبيل الصدفة ألا تتأثر الإصدارات الأحدث من Windows". "تستثمر Microsoft بكثافة في تعزيز أمان منتجاتها ، غالبًا من خلال التحسينات المعمارية الرئيسية التي لا يمكن نقلها إلى الإصدارات السابقة من Windows."

النص الفرعي هو أنه على الرغم من أن أي شخص لا يزال يستخدم إصدارًا ضعيفًا من Windows يجب تصحيحه على الفور ، فإن الخطوة الأكثر ذكاءً على المدى الطويل هي الترقية إلى Windows 8 أو 10 في المستقبل القريب.

قامت شركة Microsoft بإضافة الفضل إلى المركز القومي لأمن الإنترنت في المملكة المتحدة للإبلاغ بشكل خاص عن الثغرة الأمنية. بينما قالت Microsoft إنها لم تلاحظ أي مآثر في البرية ، إلا أنه لا يزال من غير الواضح على وجه التحديد كيف تم التعرف على هذه الثغرة القديمة وهذه الشديدة الآن فقط.

وقال بارثولومو من كاسبرسكي لاب: "إنها تجعل المرء يسأل ، كيف وجدوه في المقام الأول؟" "هل رأوا هذا في هجمات في مكان آخر؟ هل كان هذا استغلالًا قديمًا كانت تستخدمه الحكومات الصديقة في الماضي وهو يسير الآن؟ هل حصل هذا الاستغلال على تسرب بطريقة أو بأخرى وكانوا فاعلين؟ بالطبع ، ربما لن نعرف أبدًا الإجابة الحقيقية ، وبصراحة ، كل ذلك مجرد تكهنات في هذه المرحلة ، ولكن قد يكون هناك شيء هنا للتعمق فيه ".

آخر تحديث لإضافة تعليقات من Rapid7's Beardsley.

شاهد الفيديو: إسترجع جميع البيانات المحذوفة من اي هاتف بواسطة برنامج يستعمله الجيش والشرطة ثمنه يتجاوز 3600 دولار (أبريل 2020).