باحثون: الشبكة الروبوتيّة GoldBrute تشكّل أكبر تهديد لأنظمة Windows حالياً

اُكتشف في الأيام الماضية شبكة روبوتيّة تقوم بمحاولة تخمين كلمات السر بشكل أعمى لحوالي 1.5 مليون جهاز حاسب عامل بنظام ويندوز و مشغّل لخدمة بروتوكول سطح المكتب البعيد (RDP)

بينما تحوز ثغرة BlueKeep الأخيرة في وندوز على اهتمام الجميع في مجتمع تكنولوجيا المعلومات والأمن السيبراني، يحذر الباحث مارينو ريناتو من مختبرات مورفس من أن الشبكة الروبوتيّة التي أُطلق عليها اسم GoldBrute تشكل أكبر تهديد لأنظمة Windows حالياً.

في الأيام القليلة الماضية، قامت شبكة GoldBrute بشن عدة محاولات للهجوم الاعمى على بروتوكول سطح المكتب البعيد (RDP) لحوالي 1.5 مليون من أنظمة Windows والعدد يزداد باستمرار. وفقاً للباحث، تقوم الشبكة الروبوتيّة بمسح الإنترنت بحثاً عن الأجهزة التي لا تزال تشغّل خدمة بروتوكول سطح المكتب البعيد (RDP)، وتحاول استخدام كلمات مرور ضعيفة أو مكررّة للوصول الى النظام.

وكتب مارينهو في منشور، بعد اكتشاف الشبكة هذا الأسبوع ، “بعد ست ساعات ، تلقينا 2.1 مليون عنوان IP من خادم C2 والتي يوجد منها 1،596571 عنوان فريد” ، مضيفاً أن الشبكة الروبوتيّة لا تزال تتضخم في الحجم.

ويعدّ هذه أمراً في غاية الخطورة حيث يتم استخدام بروتوكول سطح المكتب البعيد (RDP) من خلال الدعم الفني و مديري الأنظمة كما أنه يستخدم أحياناً من قبل الموظفين عن بُعد. بمجرد وصول المهاجم إلى الاتصال،  يمكنه الوصول إلى سطح مكتب Windows وفعل مايريد وكأنه مستخدم شرعي للجهاز  ويشير محرك بحث الأجهزة المتّصلة بالانترنت Shodan  عن وجود حوالي 2.7 مليون جهاز يشغّل خدمة بروتوكول سطح المكتب البعيد (RDP) حتى وقت كتابة هذه المقالة.

وقد تم اصلاح الثغرة في إصدارات Windows 7 و Windows 2008 . كما تم توفير تصحيحات أيضاً لإصدارات Windows XP و Windows 2003

و ننصح جميع مستخدمي ويندوز بالتأكد من تحديث أنظمة التشغيل حالاً. أو اتّباع الخطوات التالية:

1 تعطيل خدمات RDP على الجهاز:

يتم ذلك من خلال الذهاب الى لوحة التحكم Control panel > النظام System > التحكم عن بعد Remote Settings > من خلال النقر على نافذة عن بعد Remote  ومن ثم اختيار Don’t allow connections to this computer

2 إغلاق المنفذ رقم 3389 باستخدام جدار ناري:

ويمكن القيام بذلك عن طريق الذهاب الى إعدادات الجدار الناري الذي نقوم باستخدامه و اضافة New Inbound Rule (في حالة استخدام الجدار الناري ليوندوز).

2019-06-10

المصدر: SalamaTech – سلامتك