آسیب پذیری

هشدار: حملات مخربتری از BlueKeep در حال اجراست، هم اکنون بروزرسانی کنید

گروه تحقیقاتی ATP شرکت مایکروسافت هشدار داد حملاتی که تحت عنوان BlueKeep شناخته می‌شود به کمپین استخراج ارز دیجیتال وصل شده است.

BlueKeep یک آسیب‌پذیری اجرای کد از راه دور بدون نیاز به احراز هویت است که بر روی سرویس‌های Remote Desktop سیستم‌عامل‌های Window 7، Windows Server 2008 و Windows Server 2008 R2 کشف‌شده است. شرکت مایکروسافت وصله‌های رفع این آسیب‌پذیری را  اواخر اردیبهشت‌ماه منتشر کرده است.

مایکروسافت هشدار می‌دهد حملات مخرب‌تری در آینده از طریق این آسیب‌پذیری اجرا خواهد شد «بسیار محتمل است که کدهای بهره‌برداری از آسیب‌پذیری BlueKeep، برای انتقال کدهای به‌مراتب مخرب‌تری از استخراج رمز ارز استفاده شود»

محققان مایکروسافت تائید کرده‌اند که کمپین BlueKeep از ماژول‌های بهره‌برداری منتشرشده در ابزار آزمون نفوذپذیری Metasploit استفاده کرده‌اند.

BlueKeep

بسته استخراج رمز ارزی که توسط این کمپین مورداستفاده قرارگرفته است سیستم‌عامل‌های ویندوزی که سرویس‌های RDP آن‌ها از طریق اینترنت به‌صورت عمومی در دسترس قرار داشت را در کشورهای فرانسه، روسیه، ایتالیا، اسپانیا، اوکراین، آلمان و انگلستان آلوده کرده است.

مهاجمان سرویس‌های RDP آسیب‌پذیر را موردحمله قرار داده و چندین اسکریپت PowerShell مبهم سازی شده را بر روی آن دانلود و اجرا می‌کنند. از طریق این اسکریپت‌ها استخراج‌کننده‌های رمز ارز به‌عنوان آخرین بسته بر روی سیستم بارگذاری و به‌عنوان یک برنامه زمان‌بندی‌شده دائمی اجرا می‌شوند.

مایکروسافت گزارشی تحلیلی از این حملات را منتشر کرده است که در آن به بررسی تهدید BlueKeep پرداخته است.

مطالب مرتبط:
کلاینت‌های پروتکل Remote Desktop در معرض حمله‌ی Reverse RDP هستند
هشدار: سوءاستفاده از پروتکل RDP
آسیب‌پذیری امنیتی خطرناک سرویس Remote Desktop

هشدار: حملات مخربتری از BlueKeep در حال اجراست، هم اکنون بروزرسانی کنید
To Top