Tid for oppdatering: Bluekeep RDP-sårbarhet blir aktivt utnyttet
2 min. lese
Publisert på
Del denne artikkelen
Forbedre denne veiledningen
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Angrep for ekstern kjøring av kode påvirker allerede Microsofts operativsystemer som snart ikke støttes.
BlueKeep-utnyttelseskoden (CVE-2019-0708) er et sikkerhetsproblem som ble oppdaget i Microsofts Remote Desktop Protocol, som gir mulighet for ekstern kjøring av kode.
Microsoft rapporterte at utnyttelseskoden nå er "allment tilgjengelig" for bruk av angripere, som retter seg mot eldre versjoner av operativsystemet.
(Angripere kan få) tilgang til all brukerlegitimasjon som brukes på RDP-systemet.
Windows 7, Windows Server 2008 og 2008 R2, Windows Server 2003 og eldre, Windows XP som ikke støttes, står i fare for angrepet.
Antallet sårbare systemer økte fra 805,665 788,214 i slutten av mai til 81 XNUMX i slutten av juli, ifølge BitSight; noe som betyr at XNUMX % av systemene fortsatt er uoppdaterte.
Brukere av Remote Desktop Services anbefales å bruke oppdateringen som ble utstedt i mai, og også for å beskytte systemets Remote Desktop Protocol "lytter".
I dag kunngjorde Microsoft to nye Bluekeep-lignende sårbarheter som de har lappet- CVE-2019-1181 og CVE-2019-118. I motsetning til den tidligere sårbarheten, påvirker denne feilen også Windows 10. Simon Pope, direktør for Incident Response ved Microsoft Security Response Center (MSRC) sa:
De berørte versjonene av Windows er Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 og alle støttede versjoner av Windows 10, inkludert serverversjoner.
Organisasjoner må aktivere autentisering på nettverksnivå (NLA) for å blokkere angripere som mangler autentiseringslegitimasjon; men ifølge "telemetri"-informasjon, mangler den i de fleste tilfeller.
(Det er) mer enn 400,000 XNUMX endepunkter (uten) noen form for autentisering på nettverksnivå.
Du vil også aktivere Network Level Authentication (NLA), som er en begrensning for å forhindre uautorisert tilgang til RDP-tunnelen. NLA tvinger brukere til å autentisere før de kobles til eksterne systemer, noe som dramatisk reduserer sjansen for suksess for RDP-baserte ormer. DART-teamet anbefaler på det sterkeste at du aktiverer NLA uavhengig av denne oppdateringen, siden den reduserer en hel rekke andre angrep mot RDP.
Hvis du fortsatt kjører Windows 7, er det viktig å installere oppdateringen som er tilgjengelig. Den nåværende skadelige programvaren er bare en smakebit på hva som kommer når Windows 7 ikke lenger støttes, og Microsoft leverer ikke lenger oppdateringer for dette mye brukte operativsystemet. Den beste oppdateringen vil derfor være å oppgradere til Windows 10, som støttes kontinuerlig.
