آیا حادثه‌ای مانند باج‌افزار گریه دوباره رخ خواهد داد؟

ضروری است به شما در مورد وقوع موج جدیدی از جملات مانند باج‌افزار «گریه» هشدار بدهیم چرا که پروتکل SMB ویندوز تنها پروتکلی نیست که دارای آسیب‌پذیری روز-صفرم بوده و توسط آژانس امنیت ملی آمریکا برای بهره‌برداری از آن ابزاری توسعه داده شده است. این ابزارها توسط گروه نفوذ «کارگزاران سایه» از این آژانس امنیتی به سرقت رفته و به‌طور برخط و عمومی منتشر شده است.

هرچند شرکت مایکروسافت برای آسیب‌پذیری SMB در ماه مارس به‌روزرسانی‌هایی را منتشر کرد و نسخه‌هایی از ویندوز که تحت پشتیبانی مایکروسافت قرار نداشتند نیز بعد از ظهور باج‌افزار «گریه» وصله شدند. با این‌حال مایکروسافت دیگر آسیب‌پذیری‌ها و بهره‌برداری‌های موجود در اسناد آژانس امنیت ملی آمریکا از جمله EnglishmanDentist، EsteemAudit و ExplodingCan را هنوز وصله نکرده است. اینک نزدیک به دو هفته از ظهور باج‌افزار «گریه» می‌‌گذرد و تقریباً ۳۰۰ هزار دستگاه در ۱۵۰ کشور در عرض ۷۲ ساعت به این باج‌افزار آلوده شده‌اند هرچند که روند آلودگی به این بدافزار در حال حاضر کُندتر شده است.

ابزار بهره‌برداری EsteemAudit: در حال حاضر ۲۴ هزار دستگاه آسیب‌پذیر وجود دارد
ابزار EsteemAudit یکی دیگر از ابزارهایی است که توسط آژانس امنیت ملی آمریکا برای نفوذ به سامانه عامل ویندوز طراحی شده است. این ابزار پروتکل رومیزی راه دور (RDP) را هدف قرار داده است. این پروتکل در کارگزار ویندوز ۲۰۰۳ و ویندوز ایکس‌پی بر روی درگاه شماره‌ی ۳۳۸۹ فعال است.

در حالی‌که مایکروسافت برای سامانه‌های ویندوز ۲۰۰۳ و ایکس‌پی به‌روزرسانی منتشر نمی‌کند، برخلاف ابزار EternalBlue برای ابزار بهره‌برداری EsteemAudit هیچ به‌روزرسانی و وصله‌ی اضطراری منتشر نشده است. در حال حاضر گفته می‌شود نزدیک به ۲۴ هزار دستگاه در سطح اینترنت دارای این آسیب‌پذیری هستند و به راحتی می‌توان به آن‌ها نفوذ کرد.

ابزار EsteemAudit نیز می‌تواند مانند یک کرم در سطح یک شبکه گسترش یافته و آلوده شدن یک دستگاه منجر به آلوده شدن کل سامانه‌ها بر روی شبکه شود. باج‌افزار گریه نیز به همین روش با سرعت بسیار زیادی منتشر می‌شد. در ادامه پس از نفوذ به سامانه، مهاجم می‌تواند باج‌افزار نصب کرده، به جاسوسی بپردازد و یا فعالیت‌های مخرب دیگر را انجام دهد.

نویسنده‌ی باج‌افزارهایی مانند CrySiS، Dharma و SamSam که از RDP بهره‌برداری می‌کردند از حمله‌ی جستجوی فراگیر برای نفوذ به این پروتکل استفاده می‌کنند. ابزار بهره‌برداری EsteemAudit نیز می‌تواند از این روش استفاده کرده و مانند باج‌افزار گریه در سطح گسترده‌ای منتشر شود.

چگونه رایانه‌های خود را در برابر ابزار EsteemAudit امن کنیم؟
باتوجه به ویرانی‌هایی که باج‌افزار گریه به جای گذاشت و باعث توجه بیش از حد به پروتکل SMB ویندوز شد، باعث شده تا از پروتکل RDP غافل شویم. به دلیل اینکه مایکروسافت هنوز برای این آسیب‌پذیری وصله‌ای منتشر نکرده است، به تمامی کاربران و شرکت‌ها توصیه می‌شود برای در امان ماندن از حملات EsteenAudit، حتماً تمامی سامانه عامل‌های خود را به آخرین نسخه به‌روزرسانی کنند.

با این‌حال اگر برای سازمان شما سخت باشد که در اسرع‌وقت سامانه عامل خود را به آخرین نسخه به‌روزرسانی کند، می‌توانید درگاه‌های مربوط به RDP را غیرفعال کرده و یا پشت یک دیواره‌ی آتش قرار دهید. در این شرایط، enSilo وصله‌ای را برای سامانه‌های ویندوز ایکس‌پی و کارگزار ویندوز ۲۰۰۳ منتشر کرده تا از دستگاه‌ها در برابر ابزار EsteemAudit محافظت کند. شما می‌توانید از این وصله‌ها استفاده کنید ولی به‌خاطر داشته باشید که این وصله‌ها رسمی نبوده و از طرف مایکروسافت منتشر نشده است.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.