Čas za posodobitev: ranljivost Bluekeep RDP se aktivno izkorišča
2 min. prebrati
Objavljeno dne
Dajte v skupno rabo ta članek
Izboljšajte ta vodnik
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
Napadi na oddaljeno izvajanje kode že vplivajo na Microsoftove operacijske sisteme, ki bodo kmalu nepodprti.
Izkoriščevalska koda BlueKeep (CVE-2019-0708) je varnostna ranljivost, ki je bila odkrita v Microsoftovem protokolu za oddaljeno namizje, ki omogoča možnost izvajanja kode na daljavo.
Microsoft je sporočil, da je koda za izkoriščanje zdaj "široko na voljo" za uporabo s strani napadalcev, ki ciljajo na starejše različice operacijskega sistema.
(Napadalci bi lahko pridobili) dostop do vseh uporabniških poverilnic, ki se uporabljajo v sistemu RDP.
Windows 7, Windows Server 2008 & 2008 R2, Windows Server 2003 in starejši, nepodprti Windows XP so ogroženi zaradi napada.
Število ranljivih sistemov se je po podatkih BitSighta povečalo z 805,665 konec maja na 788,214 konec julija; kar pomeni, da je 81 % sistemov še vedno nepopravljenih.
Uporabnikom storitev za oddaljeno namizje svetujemo, da uporabijo popravek, ki je bil izdan maja, in zaščitijo sistemski "poslušalec" protokola za oddaljeno namizje.
Danes je Microsoft objavil dve novi ranljivosti, podobni Bluekeepu, ki ju je popravil - CVE-2019-1181 in CVE-2019-118. Za razliko od prejšnje ranljivosti ta napaka vpliva tudi na Windows 10. Simon Papež, direktor za odzivanje na incidente v Microsoftovem varnostnem centru (MSRC) je dejal:
Prizadete različice operacijskega sistema Windows so Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 in vse podprte različice sistema Windows 10, vključno z različicami strežnika.
Organizacije morajo omogočiti preverjanje pristnosti na ravni omrežja (NLA), da blokirajo napadalce, ki nimajo poverilnic za preverjanje pristnosti; toda glede na "telemetrične" informacije v večini primerov manjka.
(Obstaja) več kot 400,000 končnih točk (brez) kakršne koli oblike overjanja na ravni omrežja.
Prav tako želite omogočiti preverjanje pristnosti na ravni omrežja (NLA), ki je ublažitev za preprečevanje dostopa do tunela RDP brez preverjanja pristnosti. NLA prisili uporabnike k preverjanju pristnosti, preden se povežejo z oddaljenimi sistemi, kar dramatično zmanjša možnost uspeha črvov, ki temeljijo na RDP. Ekipa DART zelo priporoča, da omogočite NLA ne glede na ta popravek, saj blaži celo vrsto drugih napadov na RDP.
Če še vedno uporabljate Windows 7, je nujno, da namestite posodobitev, ki je na voljo. Trenutna zlonamerna programska oprema je le poizkus tega, kar bo prišlo, ko Windows 7 ne bo več podprt, Microsoft pa ne daje več popravkov za ta široko uporabljen operacijski sistem. Najboljši popravek bi bil zato nadgradnja na Windows 10, ki je nenehno podprt.
