با توجه به اینکه در بسیاری از پروژه های مجازی سازی ممکن است از نسخه ویندوزی vCenter جهت مدیریت زیرساخت مجازی استفاده شده باشد، لذا اهمیت پایش و ایمن سازی سیستم عامل آن، جزء وظایف یک ادمین مجازی خواهد بود. از این رو بایستی موضوعات و مواردی از جمله نصب و به روزرسانی آخرین پچ های امنیتی ارائه شده مایکروسافت، پایش پورت ها و پروتکل های مورد استفاده روی سرور و نظارت بر فرآیند اعتبارسنجی و احراز هویت و کنترل دسترسی های انجام شده به سرور vCenter را در اولویت اقدامات دانست. با توجه به تجربه اخیری که در این ارتباط داشتم، این مطلب نگارش شد و صرفا این پست جهت آشنایی اولیه با موضوع امن سازی و جلوگیری از اکسپلویت سرورهای ویندوزی است. البته قصد من ورود به بحث جدی امنیت نخواهد بود، زیرا امنیت یک ابزار یا نصب یک فایرول و آنتی ویروس نخواهد بود و متخصص خود را می طلبد. اما بی شک، با وجود سرویس های متعدد و جدید در دیتاسنترها، علی الخصوص برنامه های تحت وب، بایستی موضوع امن سازی و security سرویس ها را به عنوان یک رویکرد و چشم انداز جدی در حوزه مراکز داده بازنگری و برنامه ریزی کرد.
اما موضوع به روزرسانی سرورهای ویندوزی با نصب آخرین وصله های ارائه شده موضوع مهمی است که سالهاست مدیران شبکه با آن آشنایی کامل دارند. بدون شک، نادیده گرفته شدن updateها، منجر به شناسایی و بروز آسیب پذیری های جدی روی OS و نهایتا امکان دسترسی به سیستم توسط یک حمله کننده را به دنبال خواهد داشت. کافیست برای جدی تر بودن این موضوع، سرکی به باگ های شناسایی شده و پچ های اخیر مایکروسافت داشته باشیم.
در این لینک می توانید مقاله ای از مایکروسافت جهت امن سازی مشتریان خود از ریسک های شناسایی شده را مطالعه نمایید. در راس این اکسپلویت ها که جهت دسترسی به سرور استفاده می شود می توان نام هایی همچون EternalBlue یا EmeraldThread را دید که موضوع این پست بوده، هرچند که موارد بسیار دیگری همچون باگهای مهم RDP, OS Kernel و … وجود داشته که با به روزرسانی به آخرین اپدیت ها مرتفع خواهد شد.
اکسپلویت Eternalblue یکی از مواردی است که روی بسیاری از سرورهای ویندوزی 2008 و 2012 محتمل به اجراست و امکان دسترسی حمله کنننده به سرور را فراهم می کند. این اکسپلویت مانند بسیاری دیگر از موارد مشابه خود از ضعف های پروتکل SMB بهره می برد و پس از اجرای موفق و دسترسی به سرور شما، قادر است یک فایل با نام doublepulsar را استفاده نماید. این فایل در حقیقت یک بکدور است که NSA نیز از آن برای نگهداشتن دسترسی بر روی سیستم قربانی پس از اجرای اکسپلویت استفاده می کند. با وجود عمومی شدن این اکسپلویت، چنانچه بکدور Doublepulsar روی سروری وجود داشته باشد، قطعا مورد نفوذ قرار گرفته و حمله کننده از آن برای نگهداشت دسترسی خود به سرور استفاده می کند. با یک جستجوی کوتاه می توانید به آدرسهای زیادی که در کل دنیا آلوده به این بکدور هستند پی ببرید.
در پایان، لینک های زیر جهت آشنایی با روش نفوذ به سرورهای ویندوزی بواسطه بکارگیری این اکسپلویت ارائه شده است تا ادمین های مجازی موضوع را جدی تر دنبال نمایند!
بولتین امنیتی ویندوز جهت آگاهی از آسیب پذیری های پچ شده توسط مایکروسافت
https://docs.microsoft.com/en-us/security-updates/securitybulletins/securitybulletins
