طبق تحقیقات جدید، بیش از دو سوم (۶۷%) از سازمانها هنوز هم از پروتکل ناامن ویندوزی که در سالهای ۲۰۱۷ و ۲۰۱۸ باعث حملات سایبری WannaCry و NotPetya شده بود، استفاده میکنند.
به گزارش گرداب، ExtraHop، ارائهدهندهی خدمات امنیتی، از قابلیت شناسایی و پاسخگویی شبکهی خود (NDR) برای تجزیه و تحلیل فرادادههای تعداد نامشخصی از شبکههای مشتریان به طور ناشناس استفاده کرده است تا از نقاط ضعف پروتکلهای قدیمی آگاه شود.
در نتیجهی گزارش مشاوره امنیتی مشخص شد که میزان استفاده از سرور بلاککنندهی پیام نسخهی اول (SMBv۱) که نقاط ضعف زیادی دارد و قبلاً هم مورد حملهی حملاتی مانند EternalBlue و دیگر ابزارهای حملات سایبری قرار گرفته بود، بسیار است. این موارد بیشتر توسط هکرهای کرهی شمالی در حملات WannaCry و عوامل دولت روسیه در حملات NotPetya استفاده شدهاند.
این تنها مشکلی نبود که ExtraHop پیدا کرد؛ مشخص شد که ۸۱% از شرکتها هنوز هم از شناسه متن ساده HTTP استفاده میکنند و یک سوم (۳۴%) آنها حداقل ۱۰ مشتری دارند که از NTLMv۱ استفاده میکنند که مهاجمان از طریق آن میتوانند یا حملات MITM (machine-in-the-middle) را تدارک ببینند و یا کنترلِ کامل دامنه را در دست بگیرند. ۷۰% از شرکتها از LLMNR نیز استفاده میکنند که از طریق آن هکرها میتوانند به اطلاعات هویتی کاربران دسترسی پیدا کنند که در نتیجه برای افشای اطلاعات ورود به سیستم مورد استفاده قرار میگیرند.
Ted Driggs، سرپرست خدمات در ExtraHop، گفت که تهیهی پروتکلهای بهروزرسانی شده و امن برای سازمانها تا حدودی دشوار است: «اجرا کردن پروتکلهای جدید به جای SMBv۱ یا دیگر پروتکلهای قدیمی، همیشه روی دستگاههای قدیمی امکان پذیر نیست و اگر امکان پذیر هم باشد، معمولاً مشکلاتی را به همراه دارد.
بسیاری از سازمانهای امنیتی و فناوری اطلاعات ترجیح میدهند تا به جای جایگزینی پروتکلهای جدید از پروتکلهای قدیمی استفاده کنند. سازمانها به ارزیابی دقیق و بهروز از داراییها و اطلاعات خود نیاز دارند تا بتوانند میزان ریسک را تخمین بزنند. فقط در این صورت است که میتوانند تصمیم بگیرند که چطور مشکل را رفع کنند یا میزان دسترسی به سیستمهای آسیب پذیر در شبکه را محدود کنند.»
چهارشنبه، ۱۲ می، چهارمین سالگرد حملهی WannaCry بود که صدها هزار کاربر را در ۱۵۰ کشور جهان تحت تاثیر قرار داد.