Ώρα για ενημέρωση: Η ευπάθεια RDP του Bluekeep γίνεται ενεργή εκμετάλλευση

Οι επιθέσεις απομακρυσμένης εκτέλεσης κώδικα επηρεάζουν ήδη τα λειτουργικά συστήματα της Microsoft που σύντομα θα είναι μη υποστηριζόμενα.

Ο κώδικας εκμετάλλευσης BlueKeep (CVE-2019-0708) είναι ένα θέμα ευπάθειας ασφαλείας που ανακαλύφθηκε στο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας της Microsoft, το οποίο επιτρέπει τη δυνατότητα απομακρυσμένης εκτέλεσης κώδικα.

Η Microsoft ανέφερε ότι ο κώδικας εκμετάλλευσης είναι πλέον «ευρέως διαθέσιμος» για χρήση από εισβολείς, οι οποίοι στοχεύουν παλαιότερες εκδόσεις του λειτουργικού συστήματος.

(Οι εισβολείς θα μπορούσαν να αποκτήσουν) πρόσβαση σε όλα τα διαπιστευτήρια χρήστη που χρησιμοποιούνται στο σύστημα RDP.

Τα Windows 7, Windows Server 2008 & 2008 R2, Windows Server 2003 και παλαιότερα, μη υποστηριζόμενα Windows XP κινδυνεύουν από την επίθεση.

Ο αριθμός των ευάλωτων συστημάτων αυξήθηκε από 805,665 στα τέλη Μαΐου σε 788,214 στα τέλη Ιουλίου, σύμφωνα με το BitSight. που σημαίνει ότι το 81% των συστημάτων εξακολουθεί να παραμένει χωρίς επιδιόρθωση.

Συνιστάται στους χρήστες των Υπηρεσιών απομακρυσμένης επιφάνειας εργασίας να εφαρμόσουν την ενημέρωση κώδικα που εκδόθηκε τον Μάιο, καθώς και να προστατεύσουν τον «ακροατή» του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας του συστήματος.

Σήμερα, η Microsoft ανακοίνωσε δύο νέα τρωτά σημεία όπως το Bluekeep που έχει διορθώσει- CVE-2019-1181 και  CVE-2019-118. Σε αντίθεση με την προηγούμενη ευπάθεια, αυτό το ελάττωμα επηρεάζει και τα Windows 10.  Σάιμον Πόουπ, Διευθυντής Αντιμετώπισης Συμβάντων στο Κέντρο Απόκρισης Ασφαλείας της Microsoft (MSRC) είπε:

Οι εκδόσεις των Windows που επηρεάζονται είναι τα Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 και όλες οι υποστηριζόμενες εκδόσεις των Windows 10, συμπεριλαμβανομένων των εκδόσεων διακομιστή.

Οι οργανισμοί πρέπει να ενεργοποιήσουν τον έλεγχο ταυτότητας σε επίπεδο δικτύου (NLA) για να αποκλείουν τους εισβολείς που δεν διαθέτουν διαπιστευτήρια ελέγχου ταυτότητας. αλλά σύμφωνα με πληροφορίες «τηλεμετρίας», λείπει στις περισσότερες περιπτώσεις.

(Υπάρχουν) περισσότερα από 400,000 τελικά σημεία (χωρίς) καμία μορφή ελέγχου ταυτότητας σε επίπεδο δικτύου.

Θέλετε επίσης να ενεργοποιήσετε τον έλεγχο ταυτότητας σε επίπεδο δικτύου (NLA), ο οποίος είναι ένας μετριασμός για την αποτροπή πρόσβασης χωρίς έλεγχο ταυτότητας στη σήραγγα RDP. Το NLA αναγκάζει τους χρήστες να κάνουν έλεγχο ταυτότητας πριν συνδεθούν σε απομακρυσμένα συστήματα, γεγονός που μειώνει δραματικά την πιθανότητα επιτυχίας για τα σκουλήκια που βασίζονται σε RDP. Η ομάδα του DART συνιστά ανεπιφύλακτα να ενεργοποιήσετε το NLA ανεξάρτητα από αυτήν την ενημέρωση κώδικα, καθώς μετριάζει πολλές άλλες επιθέσεις κατά του RDP.

Εάν εξακολουθείτε να χρησιμοποιείτε Windows 7, είναι απαραίτητο να εγκαταστήσετε την ενημέρωση που είναι διαθέσιμη. Το τρέχον κακόβουλο λογισμικό είναι μόνο μια γεύση από το τι πρόκειται να συμβεί όταν τα Windows 7 δεν υποστηρίζονται πλέον και η Microsoft δεν παρέχει πλέον ενημερώσεις κώδικα για αυτό το ευρέως χρησιμοποιούμενο λειτουργικό σύστημα. Επομένως, η καλύτερη ενημέρωση κώδικα θα ήταν η αναβάθμιση στα Windows 10, τα οποία υποστηρίζονται συνεχώς.

πηγή: rcpmag, μέσω: zdnet