حث الرئيس التنفيذي لشركة Huntress Kyle Hanslovan مزودي الحلول على تصحيح خوادمهم بعد اكتشاف ثغرة أمنية لاستدعاء إجراء عن بُعد لـ Microsoft Windows (RPC) الأسبوع الماضي.
تأتي الدعوة إلى اتخاذ إجراء بعد أن طلبت Microsoft من شركائها في منشور مدونة تشديد محيطهم لمنع أي متسللين من اقتحام خوادمهم.
كتب هانسلوفان في منشور على موقع لينكد إن يوم الإثنين: “من السهل استغلال ثغرة RPC الحرجة التي تم الإبلاغ عنها في Windows الأسبوع الماضي ، ويتوقع باحثو الأمن الموثوق بهم أن يستغلها مجرمو الإنترنت في أسرع وقت ممكن”. “تشديد محيطك الخارجي (حظر 445/135) ليس كافيًا لأن الجهات الفاعلة في التهديد ستستمر في استخدامه للانتشار بشكل جانبي بعد الحصول على وصول التصيد.”
يتبع منشور Hanslovan رسالة ماثيو هيكي ، الرئيس التنفيذي لشركة Hacker House ، في 14 أبريل حول الثغرة الأمنية. Hacker House هي شركة عالمية للتدريب والدعوة في مجال الأمن السيبراني مقرها لندن.
تواصلت CRN مع Hanslovan و Hickey للتعليق ، لكنها لم تسمع أي رد حتى وقت النشر.
تضمنت مشاركة مدونة Microsoft نشر جهود التخفيف التي تطلبت من الشركاء حظر منفذ TCP 445 في جدار الحماية المحيط بالشركة.
[Related: Huntress CEO: Microsoft Calling Out Russia’s SVR In Latest Attack Will Hopefully Drive Resellers To Act Now]
يقول منشور المدونة “يتم استخدام منفذ TCP 445 لبدء الاتصال بالمكون المتأثر”. سيساعد حظر هذا المنفذ في جدار الحماية المحيط بالشبكة على حماية الأنظمة الموجودة خلف جدار الحماية هذا من محاولات استغلال هذه الثغرة الأمنية. خارج محيط الشركة. يعد حظر المنافذ المخصصة لمحيط الشركة أفضل دفاع ضد الهجمات المستندة إلى الإنترنت. ومع ذلك ، لا يزال بإمكان الأنظمة تكون عرضة للهجمات التي تنشأ من داخل محيط الشركة “.
اتصلت CRN بشركة Microsoft للتعليق ، لكنها لم تتلق ردًا حتى وقت النشر.
ومع ذلك ، اعترض هانسلوفان وهيكي على دفاع مايكروسوفت وقالا إن موفري الحلول بحاجة أيضًا إلى التصحيح.
كتب هيكي: “الحل الوحيد الفعال لهذه الثغرة الأمنية هو التصحيح وعلى وجه السرعة”. “يحرز المهاجمون بالفعل تقدمًا في تطوير برمجيات إكسبلويت للاستفادة من هذا الهجوم ؛ نتوقع استخدام برامج الفدية وغيرها من التعليمات البرمجية الضارة للنشر في بيئات Windows المؤسسية والمحلية في الأسابيع المقبلة.
قال هيكي إنه بينما اقترح منشور Microsoft الاستشاري أن المشكلة تقتصر على التشغيل على منفذ TCP 445 ، فإنه يعتقد أن هذه المشكلة يمكن أن تؤثر أيضًا على أي منفذ RPC غير سريع الزوال مخصص لخدمة RPC.
“الثغرة الأمنية موجودة في معالجة CoalescedBuffer داخل أي عميل أو خادم مرتبط بـ RPC. هذا يعني أن أفضل دفاع ضد هذه الثغرة الأمنية هو تطبيق التصحيح ، وعلى وجه السرعة ، كتب هيكي في رسالته على Linkedin في 14 أبريل.
قال داستن بولاندر ، الشريك ومؤسس MSP Clear Guidance Partners ، ومقرها أوستن ، تكساس ، “في العمق ، إنه أحد تلك الأشياء المثيرة للقلق ، لكن لا ينبغي أن يكون مصدر قلق فظيع.
Ce qui se passera, a-t-il dit, c’est qu’il pourrait y avoir une attaque en chaîne où les attaquants pourraient recevoir un e-mail de phishing, quelqu’un l’exécute et soudainement l’attaquant est sur الشبكة.
قال بولاندر لشبكة سي إن إن: “الناس سوف يدخلون شبكتك ، هذه هي طبيعة أمن الكمبيوتر هذه الأيام”. “هذا هو السبب [Hanslovan and Hickey] قل ، “عليك إصلاح هذا مرة واحدة ، وليس إذا اخترق شخص ما شبكتك ، فلن يتمكن من الاستفادة منها.”
قال إن هذه الثغرة الأمنية ليست على مستوى Log4j ، “لكنها سيئة بما فيه الكفاية.”
قال “لكن نسبيًا ، هذا سهل”. “اذهب فقط لتصحيح الأشياء الخاصة بك.”
