توصیه و راهکار مرکز تالوس سیسکو برای کشف حملات روی ترافیک رمز شده RDP نظیر BlueKeep

No comments

اخیرا مایکروسافت برای یک آسیب پذیری خطرناک اجرای کد از راه دور در خصوص مرحله قبل از تعیین هویت در پروتکل RDP وصله ای را ارائه کرده است. این آسیب پذیری به عنوان CVE-2019-0708 در patchهای ماه می شناخته شده است. این آسیب پذیری توجه محققان و رسانه ها را به دلیل این واقعیت که “کرم پذیر است” به خود جلب کرده است. کرم پذیر یعنی حمله ای که از این آسیب پذیری استفاده میکند و میتواند به راحتی از یک ماشین به ماشین دیگری پخش شود. این مساله در طول 54 قسمت از پادکست “آبجو با تالوس” مورد بحث قرار گرفت.
سیسکو تالوس بلافاصله شروع به کار مهندسی معکوس کرد تا مشخص کند دقیقا RDP چگونه آسیب پذیر است. تالوس به محض اینکه توانستیم شرایط آسیب پذیری را تعیین کنیم، پوشش آسیب پذیری را تدوین و منتشر کرد. Snort با SID 50137 به درستی سو استفاده از آسیب پذیری به شماره CVE-2019-0708 و اسکن هایی که تلاش میکنند از این آسیب پذیری استفاده کنند را مسدود میکند.
این قانون با مسدود کردن هر اتصال RDP که تلاش می کند از کانال مجازی MS_T120 استفاده کند. از سو استفاده از آسیب پذیری به شماره CVE-2019-0708 جلوگیری می کند. پروتکل RDP کانال های مجازی را تعریف می کند که می توانند برای انتقال انواع مختلف داده (مانند کلیپ بورد، صوتی و غیره) استفاده شوند. علاوه بر این کانال های مشخص شده توسط کاربر، مایکروسافت کانال MS_T120 را در سیستم RDP ویندوز ایجاد می کند. ایجاد کردن یک کانال MS_T120 ازکاربران انتظار نمیرود. یک مهاجم ناشناسا از راه دور میتواند با ارسال داده های ساخته شده به این کانال داخلی از آسیب پذیری به شماره CVE-20190708 سو استفاده کند.
از آنجا که سرورهای RDP سیستم کاربران از چه کانال های مجازی پشتیبانی میکنند، کاربران لیستی از کانالهای درخواستی شان را در بسته اولیه اتصال در آغاز نشست RDP فراهم میکنند.
Client –> Connection Request –> Server
Client <– Connection Confirm <– Server — Optionally switch transport to TLS — Client –> MCS connect-initial –> Server
Client <– MCS connect-response <– Server
مشخص شدن اینکه سیستم سرویس گیرنده قادر به دریافت TLS است یا خیر در درخواست اتصال RDP امکان پذیر می باشد. در بیشتر موارد، این باعث می شود که سرور بعد از بسته تأیید اتصال، اتصال را به TLS تغییر دهد. این به این معنی است کهFirepower سیسکو فقط لیست کانال های مجازی در مورد رمزگذاری شده را بررسی میکند درصورتی که رمزگشایی TLS برای RDP تنظیم شده باشد.
درحالیکه قانون ذکرشده Snort میتواند به محافظت در برابر BlueKeep کمک کند مهاجمین هنوز هم میتوانند حملات رمزگذاری شده را انجام دهند. اساسا کاربران گذشته را گمراه کرده و ناشناخته باقی مانده اند. حتی اگر کاربران رمزگشایی TLS را برای RDP بر روی دستگاه Firepowerشان راه اندازی کنند، این احتمال وجود دارد که مهاجم بتواند از آسیب پذیری CVE-2019-0708 برا رساندن بدافزاری که میتواند به سرعت پخش شود سو استفاده کند.

روزبه نوروزیتوصیه و راهکار مرکز تالوس سیسکو برای کشف حملات روی ترافیک رمز شده RDP نظیر BlueKeep

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *