Tid til opdatering: Bluekeep RDP-sårbarhed bliver aktivt udnyttet
2 min. Læs
Udgivet den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
Fjernudførelse af kodeangreb påvirker allerede Microsofts operativsystemer, der snart ikke understøttes.
BlueKeep-udnyttelseskoden (CVE-2019-0708) er en sikkerhedssårbarhed, der blev opdaget i Microsofts Remote Desktop Protocol, som giver mulighed for fjernudførelse af kode.
Microsoft rapporterede, at udnyttelseskoden nu er "alment tilgængelig" til brug for angribere, som er rettet mod ældre versioner af operativsystemet.
(Angribere kan få) adgang til alle brugeroplysninger, der bruges på RDP-systemet.
Windows 7, Windows Server 2008 & 2008 R2, Windows Server 2003 og ældre, ikke-understøttet Windows XP er i fare for angrebet.
Antallet af sårbare systemer steg fra 805,665 i slutningen af maj til 788,214 i slutningen af juli, ifølge BitSight; hvilket betyder, at 81 % af systemerne stadig er upatchede.
Brugere af Remote Desktop Services rådes til at anvende den patch, der blev udstedt i maj, og også for at beskytte systemets Remote Desktop Protocol "lytter".
I dag annoncerede Microsoft to nye Bluekeep-lignende sårbarheder, som det har rettet. CVE-2019-1181 , CVE-2019-118. I modsætning til den tidligere sårbarhed påvirker denne fejl også Windows 10. Simon Pope, direktør for Incident Response hos Microsoft Security Response Center (MSRC) sagde:
De berørte versioner af Windows er Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 og alle understøttede versioner af Windows 10, inklusive serverversioner.
Organisationer skal aktivere autentificering på netværksniveau (NLA) for at blokere angribere, der mangler godkendelsesoplysninger; men ifølge "telemetri"-oplysninger mangler det i de fleste tilfælde.
(Der er) mere end 400,000 slutpunkter (uden) nogen form for netværksniveaugodkendelse.
Du vil også aktivere Network Level Authentication (NLA), som er en afbødning for at forhindre ikke-godkendt adgang til RDP-tunnelen. NLA tvinger brugerne til at autentificere, før de opretter forbindelse til fjernsystemer, hvilket dramatisk reducerer chancen for succes for RDP-baserede orme. DART-teamet anbefaler stærkt, at du aktiverer NLA uanset denne patch, da det afbøder en hel række andre angreb mod RDP.
Hvis du stadig kører Windows 7, er det vigtigt at installere den opdatering, der er tilgængelig. Den nuværende malware er kun en forsmag på, hvad der kommer, når Windows 7 ikke længere er understøttet, og Microsoft leverer ikke længere patches til dette meget brugte operativsystem. Den bedste patch ville derfor være at opgradere til Windows 10, som løbende understøttes.
