دو هفته قبل مایکروسافت به‌روزرسانی‌هایی را برای محصولاتش ارائه داد که چند آسیب‌پذیری بحرانی را برطرف کرد. از بین این آسیب‌پذیری‌ها دو مورد مربوط به سرویس remote desktop gateway بودند که ویندوز سرور را تحت تأثیر قرار می‌دادند. اکنون با توجه به انتشار کد اثبات مفهوم[1]، به‌روزرسانی اهمیت بیشتری پیدا کرده است.

مایکروسافت در اولین به‌روزرسانی سال 2020 خود، چند آسیب‌پذیری را برطرف کرد که سه مورد آن‌ها مهم‌تر بودند: یک آسیب‌پذیری که در کتابخانه crypt32.dll که باعث می‌شود ویندوز جعلی بودن گواهی‌های رمزنگاری را تشخیص ندهد و در نتیجه مهاجمان می‌توانند سایت‌های مخرب را با گواهی‌های جعلی بالا بیاورند یا بدافزارهایی ایجاد کنند که بررسی امنیتی ویندوز را دور بزنند. این آسیب‌پذیری دارای شناسه CVE-2020-0601 است.

آسیب‌پذیری‌های RDG

اما دو آسیب‌پذیری دیگر با شناسه‌های CVE-2020-0609 و CVE-2020-0610 و نام غیررسمی Bluegate مربوط به پروتکل remote desktop gateway (RDG) هستند و در نسخه‌های مختلف ویندوز سرور وجود دارند. پروتکل RDG اتصالات ریموت دسکتاپ را از یک تونل امن عبور می‌دهد. این آسیب‌پذیری‌ها امکان حمله منع سرویس و اجرای کد از راه دور را فراهم می‌کنند. با استفاده از امکان اجرای کد از راه دور، نفوذگر می‌تواند به سیستم آسیب‌پذیر دسترسی کاملی پیدا کند و هر عمل دلخواهی را روی آن انجام دهد!

یک محقق امنیتی با نام مستعار Ollypwn چند روز پیش یک کد اثبات مفهوم را منتشر کرد که امکان بررسی آسیب‌پذیری را روی یک هاست بررسی می‌کند و همچنین می‌تواند حمله منع سرویس را اجرا کند، اما قابلیت اجرای کد از راه دور را ندارد. پس از آن محققی به نام Luca Marcelli توانست قابلیت اجرای کد از راه دور را نیز به دست آورد. البته او هنوز این کد را منتشر نکرده است اما قصد دارد در آینده این کار را انجام دهد. وی در توییتی می‌گوید: «قبل از انتشار عمومی [کد بهره‌برداری] مدتی صبر می‌کنم تا مردم فرصت وصله [آسیب‌پذیری] را داشته باشند». با توجه به انتشار کدهای اثبات مفهوم، خطر سوءاستفاده از این آسیب‌پذیری‌ها بیشتر خواهد شد و لازم است هر چه سریع‌تر برای رفع آن‌ها اقدام شود.

راه‌حل

راهکار اصلی برای رفع مشکل این است که آخرین به‌روزرسانی‌ها روی ویندوز اعمال شود، اما اگر این کار میسر نبود راه‌حل‌های دیگری نیز برای رفع آسیب‌پذیری‌های RDG وجود دارد. پروتکل RDG از پروتکل‌های HTTP، HTTPS و UDP پشتیبانی می‌کند، اما این آسیب‌پذیری‌ها فقط در مورد UDP وجود دارند و با مسدود کردن پورت UDP 3391 یا غیرفعال کردن گزینه UDP برای RDG امکان سوءاستفاده از آسیب‌پذیری از بین می‌رود.

به منظور غیرفعال شدن UDP برای RDG، ابتدا وارد تنظیمات RDG شده و سپس در برگه Transport Settings و در قسمت UDP Transport Settings تیک کنار Enable UDP Transport  برداشته شود.

منبع: Bleeping Computer