نقص CredSSP در پروتکل Remote Desktop تمامی نسخههای ویندوز را تحت تأثیر قرار میدهد!
یک آسیبپذیری حیاتی در CredSSP (Credential Security Support Provider protocol) کشف شده است که تا کنون تمامی نسخههای ویندوز را تحت تأثیر قرار داده و به مهاجمان اجازه میدهد که به منظور سرقت داده و اجرای کدهای مخرب از RDP و WinRM سوءاستفاده نمایند.
پروتکل CredSSP برای استفاده توسط RDP (Remote Desktop Protocol) و WinRM (Windows Remote Management) طراحی شده است، که وظیفهی حفظ محرمانگی را از کلاینت ویندوز به سرورهای مقصد در احراز هویت از راه دور به عهده دارد.
به گفتهی محققان شرکت Preempt Security، این آسیبپذیری (CVE-2018-0886) یک نقص رمزنگاری منطقی در CredSSP است که توسط یک مهاجم man-in-the-middle با دسترسی فیزیکی به شبکه یا دسترسی از طریق Wi-Fi برای سرقت دادههای مربوط به احراز هویت نشست و اجرای یک حمله از راه دور مورد استفاده قرار میگیرد.
زمانی که کلاینت و سرور از طریق پروتکلهای ارتباطی RDP و WinRM احراز هویت میگردند، یک مهاجم man-in-the-middle میتواند با اجرای دستورات از راه دور شبکهی سازمان را تسخیر نماید.
Yaron Zinar، محقق ارشد امنیت شرکت Preempt میگوید: "مهاجمی که نشست را از کاربری با حق دسترسی بالا میرباید قادر خواهد بود دستورات مختلفی را با دسترسی ادمین لوکال اجرا کند. این مسئله برای دامینکنترلرها بسیار حیاتی است، جایی که اکثر فراخوانیهای پردازش از راه دور (DCE/RPC) به طور پیشفرض فعال هستند."
"این مسئله میتواند شرکتها را در مقابل تهدیدات مختلف، مانند آلوده شدن سرورهای حیاتی یا دامینکنترلرها توسط مهاجمان، آسیبپذیر نماید."
از آنجا که RDP از محبوبترین برنامهها برای دسترسی از راه دور است و تقریباً تمامی کارکنان سازمانی از RDP استفاده میکنند، بنابراین اکثر شبکهها در مقابل این نقص امنیتی آسیبپذیر هستند.
محققان امنیتی شرکت Preempt در آگوست سال گذشته این آسیبپذیری ناشناختهی قدیمی را که مربوط به اجرای کد از راه دور میباشد شناسایی کرده و به مایکروسافت گزارش نمودند، اما این غول تکنولوژی، آسیبپذیری موجود در پروتکل را به عنوان بخشی از پچ روز سهشنبهی خود (همین سهشنبه گذشته!)، مرتفع نموده است، در حالی که حدود ۷ ماه از گزارش آن میگذرد!
به منظور دفاع از خود و سازمان خود در مقابل اکسپلویت CredSSP، به کاربران توصیه میگردد که ایستگاههای کاری (workstations) و سرورهای خود را با استفاده از به روز رسانیهای مایکروسافت آپدیت نمایند.
محققان هشدار دادهاند تنها پچ برای جلوگیری از این حمله کافی نیست، بلکه متخصصان IT نیز باید پیکربندیهایی را برای نصب پچ انجام دهند تا مصون بمانید.
بلاک نمودن پورتهای برنامه مربوطه مانند RDP و DCE/RPC نیز میتوانند حمله را خنثی نمایند، اما محققان معتقدند که این حمله به طرق مختلف و با استفاده از پروتکلهای مختلف میتواند صورت گیرد.
بنابراین، به منظور محافظت بهتر از شبکه خود، یک ایدهی خوب این است که تا حد ممکن استفاده از حسابهای کاربری دارای حق دسترسی را کاهش داده و عوض آن هر زمان که لازم است از حسابهای کاربری بدون حق دسترسی استفاده شود.
مایکروسافت در پچ روز سهشنبهی خود، پچهای امنیتی برای دیگر محصولات خود مانند Microsoft IE، Edge browser، سیستمعامل ویندوز، مایکروسافت آفیس، PowerShell و همچنین برای Adobe Flash player منتشر نموده است.
منبع: https://thehackernews.com/2018/03/credssp-rdp-exploit.html