وصفت شركة Microsoft يوم الخميس بحثها حول ما يسمى بضعف “BlueKeep” لخدمات سطح المكتب البعيد في أنظمة Windows الأقدم ، ووجدت علامات على أنه يستخدم لتثبيت برامج تعدين العمله.
باحثون في شركة مايكروسوفت وجدو ان هناك محاولات استغلال الضعف في الاتصال بسطح مكتب بعيد
لقد عملوا مع باحثين أمنيين كيفين بومونت وماركوس هتشينز ، وأكدوا التفاصيل في تقاريرهم لشهر نوفمبر.
تم اكتشاف نشاط BlueKeep عادةً على أنه تعطل ، مما يعني عدم نجاح محاولات الاستغلال.
ارتبط بعض من هذا النشاط بباحثين في مجال الأمن يحاولون تجربة وحدة BlueKeep Metasploit منشورة ، لكنه تزامن أيضًا مع عمليات زرع المعادن في الأنظمة.
هؤلاء المهاجمون استخدموا خوادم موجودة في بلدان مختلفة لتسليم حمولات من عمال المناجم المعدنية في “فرنسا وروسيا وإيطاليا وإسبانيا وأوكرانيا وألمانيا والمملكة المتحدة والعديد من البلدان الأخرى” ، كما أشارت مايكروسوفت.
بدأت هجمات التنقيب عن العملات كعمليات مسح لخدمات الإنترنت التي تستخدم بروتوكول سطح المكتب البعيد ، وهو بروتوكول يقوم عليه خدمات سطح المكتب البعيد من Microsoft التي تستخدمها أنظمة Windows للاتصالات البعيدة.
تتعرض أنظمة Windows غير المدفوعة لاستغلال BlueKeep ، وحثت Microsoft المؤسسات على تحديث تحديثات نظام Windows لتجنب هجمات يمكن أن تكون قابلة للانتشار.
كما توقعوا أن هذه الأنظمة غير المرسلة قد تكون موجودة لأن شركات تكنولوجيا المعلومات تستخدمها من حين لآخر لإدارة أنظمة العملاء الخاصة بها:
يمكن أن يكون العديد من هذه الأجهزة التي لم يتم تحميلها أجهزة RDP غير خاضعة للرقابة وضعها من قبل الموردين والجهات الخارجية الأخرى لإدارة أنظمة العملاء من حين لآخر. نظرًا لأنه يمكن استغلال BlueKeep دون ترك آثار واضحة ، يجب على العملاء أيضًا فحص الأنظمة التي قد تكون بالفعل مصابة أو معرضة للخطر.
BlueKeep هو اسم مشكلة عدم حصانة CVE-2019-0708 في Windows 7 و Windows Server 2008 و Windows Server 2008 R2 ، بالإضافة إلى أنظمة Windows الأقدم وغير المدعومة.
أصدرت Microsoft تصحيحات لأنظمة التشغيل هذه مرة أخرى في مايو ، محذرة من أن المهاجمين يمكنهم استخدام الثغرة الأمنية في هجمات “wormable” أو سهلة الانتشار ، مثل البرامج الضارة “Wannacry” من قبل حوالي عامين.
وأشار الباحثون إلى أن ضعف BlueKeep ، في حالة تركه غير مسبوق ، قد يؤدي إلى هجمات أسوأ من المواضع التي تعمل بقطع النقود المعدنية ، مضيفًا أنه “لم تكن هناك هجمات أخرى مؤكدة تتضمن فدية أو أنواعًا أخرى من البرامج الضارة حتى كتابة هذه السطور.”
لم يتهرب الباحثون من وصف خدمة الحماية من التهديدات المتقدمة Microsoft Defender بأنها دفاع فعال لـ BlueKeep. تبيع Microsoft هذه الخدمة كجزء من ترخيص Microsoft 365 E5 الخاص بها.
