الرئيسة حماية ويندوز كيف تحمي نفسك من ثغرات NSA المسربة EternalBlue

كيف تحمي نفسك من ثغرات NSA المسربة EternalBlue

كيف تحمي نفسك من ثغرات NSA المسربة

كيف تحمي نفسك من ثغرات NSA المسربة EternalBlue

ربما الكثير منكم يعلم بقصة اختراق وكالة الأمن القومي (National Security Agency NSA) من طرف مجموعة من الهكرز تسمى The Shadow Brokers
بعد اختراق وكالة الأمن القومي (NSA) قامت المجموعة بتحميل أدوات الاختراق وأحدث الثغرات الموجودة على أجهزة NSA . وقاموا بعرضها للبيع في السوق السوداء لكنهم فشلوا , فقرروا تسريبها للعامة
وهي موجودة الأن على موقع GitHub باسم حساب misterch0c
The Shadow Brokers
ما يهمنا اليوم من الثغرات المسربة هو ثغرة موجودة بخدمة SMB الخاصة بمشاركة الملفات على الشبكة, متواجدة بجميع أنظمة الويندوز
اسم الثغرة: (EternalRomance / EternalBlue/ DoublePulsar (MS17-10
الأنظمة المستهدفة
تتسبب هذه الثغرة باختراق الأنظمة القديمة  مثل:
  • Windows xp,2003
  • Vista
  • Windows 7
  • Windows 8 / 8.1 ,2008, 2008 R2
هذه الثغرة كانت تستخدم لاستهداف شخصيات معينة فقط بمعرفة الاي بي IP الخاص بالشخص المراد اختراقه.
يتم استغلال هذه الثغرات عن طريق مشروع يسمى Metasploit تقوم بإضافة الثغرات له ثم تضع به الاي بي والبورت وبعض الخيارات الأخرى فيتم الاختراق.
قد يهمك:

لكن المصيبة هو بعد نشر الثغرات للعامة قام بعض الهكرز ذوي النفوس الضعيفة باستغلال هذه الثغرة عن طريق الاستهداف العشوائي . بواسطة أداة مبرمجة بالبايثون تسمى Eternal Scanner كما بالصورة

أداة مبرمجة بالبايثون تسمى Eternal Scanner

الاستهداف العشوائي هو عمل سكان على جميع IP المتواجدة على مجال Range معين
مثلا:
من الاي بي 41.200.0.0 الى 41.200.255.255
وأي جهاز مصاب بهذه الثغرة يتم اختراقه بشكل اوتوماتيكي ودون معرفة من هو صاحبه.

طريقة الحماية من الثغرة :

  • الطريقة الأولى:
عن طريق التحديثات قامت مايكروسوفت بإصدار ترقيعات لها لذلك يجب أن تكون خاصية التحديثات مفعلة لتلقي التحديثات تلقائيا.
أو يمكنك تنزيل التحديثات يدويا من موقع مايكروسوفت على حسب نظام جهازك وحسب المعالج 64 بت أو 32/86 بت
  • الطريقة الثانية:
إيقاف البورت الخاص بخدمة SMB وهذا الحل حصري ولن تجده بأي مكان أخر لأنه من مجهودي الخاص,
خدمة ال SMB خاصة بمشاركة الطابعة والمجلدات مع الأجهزة الموجودة على شبكتك المنزلية
سنقوم بتعطيلها وسنضرب عصفورين بحجر واحد
1- نقوم بحماية أنفسنا من الثغرة الموجودة حاليا MS17-10.
2 - لن تشتغل أي ثغرة أخرى من هذا النوع , لماذا؟
لأن خدمة smb تعمل ببورت 445 وهذا البورت مستهدف بكثرة ومفتوح بكل الأجهزة قمت بعمل سكان بأداة Nmap لمعرفة البورتات المفتوحة لاستهداف نظام ويندوز 7 مثبت على الفيموير,
فوجدته مفتوح كما بالصورة

وعند اغلاق البورت لن يتمكن الهكر من استغلال الثغرة والبورت مغلق.
طريقة اغلاق البورت:
1- نضغط بالزر الأيمن على أيقونة الانترنت / الويفي
ثم
بعدها

الان قم بازالة علامة الصح من خدمة المشاركة 
نزيل علامة الصح كما لاحظت
المفترض أن الموضوع هنا ينتهي, لكني تذكرت الان فيروسات الفدية ransomware
هذه طريقة إضافية للحماية من هجمات WannaCry cyber attack و Ransomware
هذه الفيروسات تنتشر عن طريق العدوى من الأجهزة المصابة نحو الاجهزة السليمة عبر خاصية مشاركة الملفات ,حيث يقوم الفيروس بنسخ نفسه بمجلد المشاركة في جهاز الضحية تلقائيا ثم يشغل نفسه عن طريق الثغرة الموجودة بجهاز الضحية إن كان مصاب بها.
  • قم بفتح services عن طريق الضغط على الزرين WIN + R معا
  • ثم أكتب
services.msc

  • الأن قم بالبحث عن كلمة serveur


  • قم بالضغط عليها مرتين بالزر الأيسر قم بعمل Disable / تعطيل
  • ثم إيقاف Stop او arreter باللغة الفرنسية كما بجهازي


بعد قيامك بجميع الخطوات أعد تشغيل جهازك.
بهذه الطريقة ستتوقف مشاركة الملفات عن العمل وستحمي نفسك من هذا النوع من الفيروسات. 
تحياتي لكم, في أمان الله

مواضيع ذات صلة :

شارك المقال