بلو كيب
BlueKeep ( CVE - 2019-0708 ) هي ثغرة أمنية تم اكتشافها في تطبيق بروتوكول سطح المكتب البعيد (RDP) الخاص بشركة Microsoft ، مما يسمح بإمكانية تنفيذ التعليمات البرمجية عن بعد .
تم الإبلاغ عن هذه الثغرة لأول مرة في مايو 2019، وهي موجودة في جميع إصدارات مايكروسوفت ويندوز غير المُحدثة والمبنية على نظام ويندوز NT ، بدءًا من ويندوز 2000 وصولًا إلى ويندوز سيرفر 2008 R2 وويندوز 7. أصدرت مايكروسوفت تحديثًا أمنيًا (يتضمن تحديثًا خاصًا لعدة إصدارات من ويندوز التي انتهى دعمها، مثل ويندوز XP ) في 14 مايو 2019. وفي 13 أغسطس 2019، تم الإبلاغ عن ثغرات أمنية أخرى متعلقة بثغرة BlueKeep، والتي تُعرف مجتمعةً باسم DejaBlue ، وتؤثر على إصدارات ويندوز الأحدث، بما في ذلك ويندوز 7 وجميع الإصدارات الحديثة حتى ويندوز 10 ، بالإضافة إلى الإصدارات الأقدم. [ 3 ] وفي 6 سبتمبر 2019، تم الإعلان عن إطلاق برنامج استغلال لثغرة BlueKeep الأمنية، القابلة للاستغلال بواسطة دودة، في المجال العام. [ 4 ]
تاريخ
تم رصد ثغرة BlueKeep الأمنية لأول مرة من قبل المركز الوطني للأمن السيبراني في المملكة المتحدة [ 2 ] ، وفي 14 مايو 2019، أبلغت عنها شركة مايكروسوفت . أطلق خبير أمن الحاسوب كيفن بومونت على هذه الثغرة اسم BlueKeep على تويتر . يتم تتبع BlueKeep رسميًا تحت الرقم: CVE- 2019-0708 ، وهي ثغرة أمنية تسمح بتنفيذ تعليمات برمجية عن بُعد قابلة للاستغلال . [ 5 ] [ 6 ]
أكدت كل من وكالة الأمن القومي الأمريكية (التي أصدرت بيانها الخاص بشأن الثغرة الأمنية في 4 يونيو 2019) [ 7 ] ومايكروسوفت أن هذه الثغرة قد تُستغل من قِبل ديدان ذاتية الانتشار ، حيث ذكرت مايكروسوفت (استنادًا إلى تقدير أحد باحثي الأمن بأن ما يقرب من مليون جهاز معرض للخطر) أن مثل هذا الهجوم النظري قد يكون على نطاق مماثل لهجمات EternalBlue مثل NotPetya و WannaCry . [ 8 ] [ 9 ] [ 7 ]
في نفس يوم إصدار وكالة الأمن القومي الأمريكية لتحذيرها، كشف باحثون من مركز تنسيق الاستجابة لحوادث أمن الحاسوب (CERT) عن ثغرة أمنية منفصلة متعلقة ببروتوكول سطح المكتب البعيد ( RDP ) في تحديث ويندوز 10 مايو 2019 وويندوز سيرفر 2019 ، مشيرين إلى سلوك جديد يتمثل في تخزين بيانات اعتماد تسجيل الدخول لمصادقة مستوى الشبكة (NLA) الخاصة ببروتوكول سطح المكتب البعيد (RDP) مؤقتًا على نظام العميل، ما يسمح للمستخدم باستعادة الوصول إلى اتصال RDP الخاص به تلقائيًا في حال انقطاع اتصال الشبكة. وقد نفت مايكروسوفت هذه الثغرة الأمنية، معتبرةً إياها سلوكًا مقصودًا، ويمكن تعطيلها عبر سياسة المجموعة . [ 10 ]
حتى 1 يونيو 2019، لم يكن هناك أي برمجيات خبيثة نشطة معروفة للعامة تستغل هذه الثغرة؛ ومع ذلك، ربما كانت هناك أكواد تجريبية غير معلنة تستغل هذه الثغرة. [ 8 ] [ 11 ] [ 12 ] [ 13 ] في 1 يوليو 2019، نشرت شركة سوفوس ، وهي شركة أمن بريطانية، تقريرًا عن مثال عملي لمثل هذا الدليل التجريبي، للتأكيد على الحاجة المُلحة لتصحيح هذه الثغرة. [ 14 ] [ 15 ] [ 16 ] في 22 يوليو 2019، زُعم أن متحدثًا في مؤتمر من شركة أمن صينية كشف عن مزيد من التفاصيل حول استغلال هذه الثغرة. [ 17 ] في 25 يوليو 2019، أفاد خبراء حاسوب باحتمالية توفر نسخة تجارية من هذه الثغرة. [ 18 ] [ 19 ] في 31 يوليو 2019، أفاد خبراء الحاسوب بزيادة ملحوظة في نشاط بروتوكول سطح المكتب البعيد (RDP) الخبيث، وحذروا، استنادًا إلى سجلات استغلال ثغرات مماثلة، من أن استغلالًا نشطًا لثغرة BlueKeep في البرية قد يكون وشيكًا. [ 20 ]
في 13 أغسطس 2019، تم الإبلاغ عن ثغرات أمنية مرتبطة ببرنامج BlueKeep، والتي أطلق عليها مجتمعة اسم DejaBlue ، والتي تؤثر على إصدارات Windows الأحدث، بما في ذلك Windows 7 وجميع الإصدارات الحديثة من نظام التشغيل حتى Windows 10 ، بالإضافة إلى إصدارات Windows الأقدم. [ 3 ]
في 6 سبتمبر 2019، أُعلن عن تسريب ثغرة أمنية في نظام BlueKeep، قابلة للاستغلال من قِبل البرامج الضارة، إلى العلن. [ 4 ] إلا أن النسخة الأولية من هذه الثغرة كانت غير موثوقة، إذ عُرفت بتسببها في ظهور شاشة الموت الزرقاء (BSOD). وقد أُعلن لاحقًا عن إصلاحٍ لهذه الثغرة، أزال سبب ظهور شاشة الموت الزرقاء. [ 21 ]
في 2 نوفمبر 2019، تم الإبلاغ عن أول حملة اختراق واسعة النطاق لشركة BlueKeep، والتي تضمنت مهمة فاشلة لتعدين العملات المشفرة . [ 22 ]
في 8 نوفمبر 2019، أكدت مايكروسوفت وقوع هجوم BlueKeep، وحثت المستخدمين على تحديث أنظمة ويندوز الخاصة بهم على الفور. [ 23 ]
الآلية
يستخدم بروتوكول RDP "قنوات افتراضية"، يتم تكوينها قبل المصادقة، كمسار بيانات بين العميل والخادم لتوفير الامتدادات. يُعرّف RDP 5.1 اثنتين وثلاثين قناة افتراضية "ثابتة"، وتحتوي إحدى هذه القنوات الثابتة على قنوات افتراضية "ديناميكية". إذا ربط الخادم القناة الافتراضية "MS_T120" (وهي قناة لا يوجد سبب مشروع لاتصال العميل بها) بقناة ثابتة أخرى غير القناة 31، فسيحدث تلف في الذاكرة يسمح بتنفيذ تعليمات برمجية عشوائية على مستوى النظام. [ 24 ]
أعلنت مايكروسوفت أن أنظمة التشغيل ويندوز إكس بي ، وويندوز فيستا ، وويندوز 7 ، وويندوز سيرفر 2003 ، وويندوز سيرفر 2008 ، وويندوز سيرفر 2008 R2 معرضة لهذا الهجوم. أما الإصدارات الأحدث من ويندوز 7، مثل ويندوز 8 ، وويندوز 10 ، وويندوز 11 ، فلم تتأثر. وأفادت وكالة الأمن السيبراني وأمن البنية التحتية أنها نجحت أيضاً في تنفيذ تعليمات برمجية عبر هذه الثغرة الأمنية في ويندوز 2000. [ 25 ]
التخفيف
أصدرت مايكروسوفت تحديثات أمنية لمعالجة الثغرة الأمنية في 14 مايو 2019، لأنظمة ويندوز إكس بي ، وويندوز فيستا ، وويندوز 7 ، وويندوز سيرفر 2003 ، وويندوز سيرفر 2008 ، وويندوز سيرفر 2008 R2 . وشمل ذلك إصدارات ويندوز التي انتهى دعمها ( مثل فيستا، وإكس بي، وسيرفر 2003) وبالتالي لم تعد مؤهلة لتلقي التحديثات الأمنية. [ 8 ] يُجبر التحديث قناة "MS_T120" المذكورة على الارتباط دائمًا بالرقم 31 حتى لو طلب خادم RDP خلاف ذلك. [ 24 ]
أوصت وكالة الأمن القومي الأمريكية باتخاذ تدابير إضافية، مثل تعطيل خدمات سطح المكتب البعيد ومنفذها المرتبط ( TCP 3389) في حال عدم استخدامه، وفرض مصادقة على مستوى الشبكة (NLA) لبروتوكول سطح المكتب البعيد (RDP). [ 26 ] ووفقًا لشركة أمن الحاسوب Sophos ، قد تُقلل المصادقة الثنائية من خطورة ثغرة RDP. مع ذلك، فإن أفضل حماية هي فصل RDP عن الإنترنت: إيقاف تشغيل RDP عند عدم الحاجة إليه، وفي حال الحاجة إليه، جعل الوصول إليه متاحًا فقط عبر شبكة افتراضية خاصة (VPN) . [ 27 ]
انظر أيضاً
مراجع
- ↑ فولي، ماري جو (14 مايو 2019). "مايكروسوفت تُصدر تحديثات لنظامي التشغيل ويندوز إكس بي وسيرفر 2003 في محاولةٍ لسدّ ثغرةٍ أمنيةٍ قابلةٍ للاستغلال" . زد نت . مؤرشف من الأصل بتاريخ 4 يونيو 2019. تم الاطلاع عليه بتاريخ 7 يونيو 2019 .
- 1 2 مايكروسوفت (مايو 2019). "دليل تحديثات الأمان - شكر وتقدير، مايو 2019" . مايكروسوفت . مؤرشف من الأصل بتاريخ 23 نوفمبر 2019. تم الاطلاع عليه بتاريخ 7 يونيو 2019 .
- 1 2 غرينبيرغ، آندي (13 أغسطس 2019). "ديجا بلو: ثغرات جديدة على غرار بلو كيب تُجدد خطر الإصابة بدودة ويندوز" . وايرد . مؤرشف من الأصل في 13 أبريل 2021. تم الاطلاع عليه في 13 أغسطس 2019 .
- 1 2 غودين، دان (2019-09-06). "تم إطلاق ثغرة BlueKeep في نظام ويندوز، وهي ثغرة قابلة للاستغلال، على نطاق واسع - وحدة Metasploit ليست مصقولة مثل ثغرة EternalBlue، لكنها مع ذلك قوية" . آرس تكنيكا . مؤرشف من الأصل في 2019-11-27 . تم الاطلاع عليه في 2019-09-06 .
- ↑ "إرشادات العملاء بشأن CVE-2019-0708 - ثغرة تنفيذ التعليمات البرمجية عن بُعد في خدمات سطح المكتب البعيد" . مايكروسوفت . 14 مايو 2019. مؤرشف من الأصل في 13 سبتمبر 2019. تم الاطلاع عليه في 29 مايو 2019 .
- ↑ "CVE-2019-0708 ثغرة أمنية في خدمات سطح المكتب البعيد تسمح بتنفيذ التعليمات البرمجية عن بُعد" . مايكروسوفت . ١٤ مايو ٢٠١٩. مؤرشف من الأصل في ٢٩ مايو ٢٠١٩. تم الاطلاع عليه في ٢٨ مايو ٢٠١٩ .
- 1 2 سيمبانو، كاتالين. "حتى وكالة الأمن القومي تحث مستخدمي ويندوز على تحديث نظامهم لتصحيح ثغرة BlueKeep (CVE-2019-0708)" . ZDNet . مؤرشف من الأصل بتاريخ 2019-09-06 . تم الاطلاع عليه بتاريخ 2019-06-20 .
- 1 2 3 غودين، دان (31 مايو 2019). "مايكروسوفت تتوسل عمليًا لمستخدمي ويندوز لإصلاح ثغرة BlueKeep القابلة للاستغلال" . آرس تكنيكا . مؤرشف من الأصل في 22 يوليو 2019. تم الاطلاع عليه في 31 مايو 2019 .
- ↑ وارن، توم (14 مايو 2019). "مايكروسوفت تحذر من ثغرة أمنية خطيرة في نظام ويندوز تشبه ثغرة WannaCry، وتصدر تحديثات لنظام XP" . ذا فيرج . مؤرشف من الأصل في 2 سبتمبر 2019. تم الاطلاع عليه في 20 يونيو 2019 .
- ↑ «مايكروسوفت تنفي وجود خلل جديد في بروتوكول سطح المكتب البعيد (RDP) في ويندوز باعتباره ميزة» . نيكد سكيورتي . 6 يونيو 2019. مؤرشف من الأصل بتاريخ 17 ديسمبر 2019. تم الاطلاع عليه بتاريخ 20 يونيو 2019 .
- ↑ ويتاكر، زاك (31 مايو 2019). "مايكروسوفت تحذر المستخدمين من ضرورة تحديث أنظمتهم مع ظهور ثغرات أمنية في برنامج BlueKeep" . TechCrunch . مؤرشف من الأصل بتاريخ 31 مايو 2019. تم الاطلاع عليه بتاريخ 31 مايو 2019 .
- ↑ أونيل، باتريك هاول (31 مايو 2019). "أنت بحاجة إلى تحديث أجهزة الكمبيوتر القديمة التي تعمل بنظام ويندوز الآن لسد ثغرة خطيرة" . جيزمودو . مؤرشف من الأصل في 1 يونيو 2019. تم الاطلاع عليه في 31 مايو 2019 .
- ↑ ويندر، ديفي (1 يونيو 2019). "مايكروسوفت تصدر تحذيرًا لمستخدمي ويندوز بضرورة التحديث الآن" . فوربس . مؤرشف من الأصل في 1 يونيو 2019. تم الاطلاع عليه في 1 يونيو 2019 .
- ↑ بالمر، داني (2019-07-02). "بلوكيب: باحثون يُظهرون مدى خطورة هذه الثغرة الأمنية في نظام ويندوز - باحثون يطورون هجومًا تجريبيًا بعد الهندسة العكسية لتصحيح مايكروسوفت بلوكيب" . زد نت . مؤرشف من الأصل في 2019-07-02 . تم الاطلاع عليه في 2019-07-02 .
- ↑ ستوكلي، مارك (2019-07-01). "استغلال ثغرة RDP BlueKeep يُظهر سبب حاجتك المُلحة إلى التحديث" . NakedSecurity.com . مؤرشف من الأصل بتاريخ 2019-12-07 . تم الاطلاع عليه بتاريخ 2019-07-01 .
- ↑ فريق العمل (29 مايو 2019). "CVE-2019-0708: ثغرة أمنية في خدمات سطح المكتب البعيد تسمح بتنفيذ التعليمات البرمجية عن بُعد (المعروفة باسم BlueKeep) - نشرة الدعم الفني" . سوفوس . مؤرشف من الأصل بتاريخ 3 يوليو 2019. تم الاطلاع عليه بتاريخ 2 يوليو 2019 .
- ↑ غودين، دان (22 يوليو 2019). "احتمالات استغلال ثغرة BlueKeep المدمرة تتزايد مع نشر شرح جديد على الإنترنت - الشرائح تقدم أكثر الوثائق التقنية المتاحة للجمهور تفصيلاً حتى الآن" . آرس تكنيكا . مؤرشف من الأصل في 8 نوفمبر 2019. تم الاطلاع عليه في 23 يوليو 2019 .
- ↑ سيمبانو، كاتالين (25 يوليو 2019). "شركة أمريكية تبيع ثغرة BlueKeep المُستغلة كسلاح - تُباع الآن تجاريًا ثغرة أمنية كانت مايكروسوفت تخشى أن تُؤدي إلى هجوم WannaCry جديد" . ZDNet . مؤرشف من الأصل في 8 نوفمبر 2019. تم الاطلاع عليه في 25 يوليو 2019 .
- ↑ فرانشيسكي-بيشيرال، لورينزو (26 يوليو/تموز 2019). "شركة أمن سيبراني تُصدر شفرة برمجية لثغرة "بلوكيب" الخطيرة للغاية في نظام ويندوز - طوّر باحثون من شركة "إيميونيتي"، المتعاقدة مع الحكومة الأمريكية، برنامجًا فعالًا لاستغلال ثغرة "بلوكيب" الخطيرة في نظام ويندوز" . فايس . مؤرشف من الأصل بتاريخ 26 يوليو/تموز 2019. تم الاطلاع عليه بتاريخ 26 يوليو/تموز 2019 .
- ↑ روديس، بوب (31 يوليو 2019). "قد تظهر ثغرات في نظام BlueKeep: ملاحظاتنا وتوصياتنا" . Rapid7.com . مؤرشف من الأصل في 1 أغسطس 2019. تم الاطلاع عليه في 1 أغسطس 2019 .
- ↑ سيمبانو، كاتالين (11 نوفمبر 2019). "استغلال ثغرة BlueKeep لإصلاح مشكلة الشاشة الزرقاء" . ZDNet . مؤرشف من الأصل بتاريخ 18 نوفمبر 2019. تم الاطلاع عليه بتاريخ 13 نوفمبر 2019 .
- ↑ غرينبيرغ، آندي (2019-11-02). "أول هجوم اختراق جماعي باستخدام ثغرة BlueKeep قد وقع أخيرًا - ولكن لا داعي للذعر - بعد أشهر من التحذيرات، وقع أول هجوم ناجح باستخدام ثغرة BlueKeep في نظام مايكروسوفت - ولكنه ليس بالسوء الذي كان يمكن أن يكون عليه" . مجلة Wired . مؤرشف من الأصل في 2019-12-02 . تم الاطلاع عليه في 2019-11-03 .
- ↑ «تتعاون مايكروسوفت مع الباحثين لاكتشاف ثغرات RDP الجديدة والحماية منها» . مايكروسوفت . 7 نوفمبر 2019. مؤرشف من الأصل في 23 نوفمبر 2019. تم الاطلاع عليه في 9 نوفمبر 2019 .
- ١ ٢ "RDP تعني "قم بتطبيق التصحيح فورًا!" - فهم ثغرة RDP القابلة للاستغلال CVE-2019-0708" . مدونات McAfee . ٢٠١٩-٠٥-٢١. مؤرشف من الأصل في ٢٠٢٠-٠٣-٠٧ . تم الاطلاع عليه في ٢٠١٩-٠٦-١٩ .
- ↑ تونغ، ليام. "الأمن الداخلي: لقد اختبرنا هجوم BlueKeep على نظام ويندوز، وهو فعال، لذا يجب تحديث النظام الآن" . ZDNet . مؤرشف من الأصل بتاريخ 19 يونيو 2019. تم الاطلاع عليه بتاريخ 20 يونيو 2019 .
- ↑ سيمبانو، كاتالين. "حتى وكالة الأمن القومي تحث مستخدمي ويندوز على تحديث نظامهم لتصحيح ثغرة BlueKeep (CVE-2019-0708)" . ZDNet . مؤرشف من الأصل بتاريخ 6 سبتمبر 2019. تم الاطلاع عليه بتاريخ 20 يونيو 2019 .
- ↑ ستوكلي، مارك (17 يوليو 2019). "كشف برنامج RDP: الذئاب على عتبة دارك" . سوفوس . مؤرشف من الأصل في 18 أكتوبر 2019. تم الاطلاع عليه في 17 يوليو 2019 .
روابط خارجية
- BlueKeep : تحديثات Windows Update هنا ، هنا وهنا ( Microsoft ).
- إثبات مفهوم الثغرة من قِبل شركة سوفوس، مؤرشف بتاريخ 7 ديسمبر 2019 على موقع Wayback Machine
- مناقشة فنية للخلل على يوتيوب
- ثغرات أمنية في الحاسوب
- 2019 في مجال الحوسبة
- إدارة نظام التشغيل ويندوز
