نقص CredSSP در پروتکل Remote Desktop تمامی نسخه‎‌‏های ویندوز را تحت تأثیر قرار می‏‌دهد!

یک آسیب‌‏پذیری حیاتی در CredSSP (Credential Security Support Provider protocol) کشف شده است که تا کنون تمامی نسخه‏‌های ویندوز را تحت تأثیر قرار داده و به مهاجمان اجازه می‌‏دهد که به منظور سرقت داده و اجرای کدهای مخرب از RDP و WinRM سوءاستفاده نمایند.

پروتکل CredSSP برای استفاده توسط RDP (Remote Desktop Protocol) و WinRM (Windows Remote Management) طراحی شده است، که وظیفه‌‏ی حفظ محرمانگی را از کلاینت ویندوز به سرورهای مقصد در احراز هویت از راه دور به عهده دارد.

به گفته‌‏ی محققان شرکت Preempt Security، این آسیب‏‌پذیری (CVE-2018-0886) یک نقص رمزنگاری منطقی در CredSSP است که توسط یک مهاجم man-in-the-middle با دسترسی فیزیکی به شبکه یا دسترسی از طریق Wi-Fi برای سرقت داده‏‌های مربوط به احراز هویت نشست و اجرای یک حمله از راه دور مورد استفاده قرار می‏‌گیرد.

زمانی که کلاینت و سرور از طریق پروتکل‏‌های ارتباطی RDP و WinRM احراز هویت می‏‌گردند، یک مهاجم man-in-the-middle می‏‌تواند با اجرای دستورات از راه دور شبکه‏‌ی سازمان را تسخیر  نماید.

Yaron Zinar، محقق ارشد امنیت شرکت Preempt می‏‌‍گوید: "مهاجمی که نشست را از کاربری با حق دسترسی بالا می‌‏رباید قادر خواهد بود دستورات مختلفی را با دسترسی ادمین لوکال اجرا کند. این مسئله برای دامین‏‌کنترلرها بسیار حیاتی است، جایی که اکثر فراخوانی‏‌های پردازش از راه دور (DCE/RPC) به طور پیش‎فرض فعال هستند."

"این مسئله می‏‌تواند شرکت‏‌ها را در مقابل تهدیدات مختلف، مانند آلوده شدن سرورهای حیاتی یا دامین‏‌کنترلرها توسط مهاجمان، آسیب‏‌پذیر نماید."

از آنجا که RDP از محبوب‌‏ترین برنامه‌‏ها برای دسترسی از راه دور است و تقریباً تمامی کارکنان سازمانی از RDP استفاده می‏‌کنند، بنابراین اکثر شبکه‏‌ها در مقابل این نقص امنیتی آسیب‏‌پذیر هستند.

محققان امنیتی شرکت Preempt در آگوست سال گذشته این آسیب‌‏پذیری ناشناخته‌‏ی قدیمی را که مربوط به اجرای کد از راه دور می‌‏باشد شناسایی کرده و به مایکروسافت گزارش نمودند، اما این غول تکنولوژی، آسیب‌‏پذیری موجود در پروتکل را به عنوان بخشی از پچ روز سه‏‌شنبه‏‌ی خود (همین سه‌شنبه گذشته!)، مرتفع نموده است، در حالی که حدود ۷ ماه از گزارش آن می‌‏گذرد!

به منظور دفاع از خود و سازمان خود در مقابل اکسپلویت CredSSP، به کاربران توصیه می‏‌گردد که ایستگاه‏‌های کاری (workstations) و سرورهای خود را با استفاده از به روز رسانی‏‌های مایکروسافت آپدیت نمایند.

 محققان هشدار داده‌‏اند تنها پچ برای جلوگیری از این حمله کافی نیست، بلکه متخصصان  IT نیز باید پیکربندی‏‌هایی را برای نصب پچ انجام دهند تا مصون بمانید.

بلاک نمودن پورت‏‌های برنامه مربوطه مانند RDP و DCE/RPC نیز می‌‏توانند حمله را خنثی نمایند، اما محققان معتقدند که این حمله به طرق مختلف و با استفاده از پروتکل‌‏های مختلف می‌‏تواند صورت گیرد.

بنابراین، به منظور محافظت بهتر از شبکه خود، یک ایده‌‏ی خوب این است که تا حد ممکن استفاده از حساب‏‌های کاربری دارای حق دسترسی را کاهش داده و عوض آن هر زمان که لازم است از حساب‏‌های کاربری بدون حق دسترسی استفاده شود.

مایکروسافت در پچ روز سه‏‌شنبه‌‏ی خود، پچ‏‌های امنیتی برای دیگر محصولات خود مانند Microsoft IE، Edge browser، سیستم‏‌عامل ویندوز، مایکروسافت آفیس، PowerShell و همچنین برای Adobe Flash player منتشر نموده است.

منبع: https://thehackernews.com/2018/03/credssp-rdp-exploit.html