تم اكتشاف BlueKeep ، وهي ثغرة أمنية موجودة في الإصدارات القديمة من بروتوكول سطح المكتب البعيد من Microsoft Corp. ، لأول مرة كجزء من حملة قرصنة جديدة.
تم الكشف عن الحملة عبر Honeypots ، وهو نظام كمبيوتر مكتشف لاكتشاف حملات القرصنة التي تم إنشاؤها للكشف عن هجوم BlueKeep من قبل الباحث الأمني كيفن بومونت.
يتضمن BlueKeep ، الذي تم اكتشافه في شهر مايو ، وجود خلل في Microsoft RDP يسمح بالوصول غير المصرح به إلى أجهزة الكمبيوتر التي تعمل بنظام Windows XP و Windows 7 و Windows Server 2003 و Windows Server 2008. لا تتأثر الإصدارات الأحدث من Windows ، 8 و 10 على حد سواء.
اتخذت Microsoft الإجراء النادر لإصدار تحديثات للأنظمة القديمة غير المدعومة في 14 مايو نظرًا لخطورة مشكلة عدم الحصانة المقدمة للخوادم وأجهزة الكمبيوتر الأخرى التي لا تزال تعمل على إصدارات Windows القديمة. تعتبر الثغرة الأمنية شديدة الخطورة لدرجة أن وكالة الأمن القومي الأمريكية أصدرت مشورة حول الأمن السيبراني على BlueKeep في يونيو.
اعتبارًا من يوليو ، كان يُعتقد أن حوالي 800000 نظام لا تزال عرضة لـ BlueKeep ، حيث انخفض العدد بنسبة 17٪ منذ أن أصدرت Microsoft التصحيح في مايو. من المحتمل أن 500000 نظام جيد ، وربما أكثر ، قد تظل معرضة لـ BlueKeep اليوم.
على الرغم من أن ظهور المتسللين الذين يستخدمون BlueKeep لاستهداف الأنظمة الضعيفة أمر يثير القلق ، فإن الهجوم ليس بالسوء الذي كان يمكن أن يكون. بدلاً من نشر دودة على الأنظمة المستهدفة ، وهي وسيلة للنشر الذاتي ، يبحث من يقف وراء هذا الهجوم عن أنظمة Windows غير المتطابقة مع تعرض منافذ RDP لاستهداف محدد.
تحديث: وفقًا لـ netflow ، يبدو أنه لا يتم نشره ذاتيًا ، أفترض أن قائمة عناوين IP المستضعفة يتم تغذيتها إلى خادم يقوم بالاستغلال.
– MalwareTech (MalwareTechBlog) 3 نوفمبر ، 2019
لا يحاول المهاجمون أيضًا تسوية البيانات المتعلقة بالأنظمة المعرضة للخطر على محمل الجد ، لكنهم بدلاً من ذلك يقومون بتثبيت برامج التشفير.
أحد المخاطر هو أنه بعد الوصول إلى أنظمة غير مسبوقة ، يمكن للمتطفلين تثبيت برامج أخرى أكثر ضررًا بسهولة. الخطر الآخر ، الآن وقد تم استخدام BlueKeep في البرية ، هو أن الآخرين قد يسعون إلى اتخاذ الكود المستخدم كقاعدة للحملات الأكثر إشراكًا ، بما في ذلك نشره كديدان ذاتية الانتشار. خطر استخدام BlueKeep في الدودة هو تكرار للهجمات مثل WannaCry.
“لقد كان مهندسو مايكروسوفت مرعوبين من قيام BlueKeep بإطلاق تفشي آخر للبرامج الضارة على مستوى العالم ينتشر من تلقاء نفسه ، من نظام غير متطابق إلى نظام غير منقطع ،” ذكرت شبكة ZDNet.
أثناء حديثه إلى SiliconANGLE theCUBE في أغسطس ، حذر توني جياندومينيكو ، كبير الباحثين في مجال الأمن والباحث في FortiGuard Labs ، من أن دودة تستخدم BlueKeep قد تفتح الباب أمام هجوم أكبر. لاحظ Giandomenico أن الشفرة الخبيثة المثبتة على الخوادم الضعيفة يمكن أن تنتشر بعد ذلك إلى ملايين الأجهزة المتصلة بالإنترنت دون الحاجة إلى اسم مستخدم أو كلمة مرور.
النصيحة ، كما هو الحال دائمًا ، هي التأكد من أن الخوادم على علم بأحدث تصحيحات الأمان. في هذه الحالة ، يجب على أي شخص يستخدم الإصدارات القديمة من Windows ، إذا لم يكن بالفعل ، تثبيت BlueKeep patch.
