Час оновлення: вразливість Bluekeep RDP активно використовується
2 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Атаки віддаленого виконання коду вже впливають на операційні системи Microsoft, які незабаром не підтримуються.
Код експлойта BlueKeep (CVE-2019-0708) — це вразливість безпеки, яка була виявлена в протоколі віддаленого робочого столу Microsoft, що дає можливість віддаленого виконання коду.
Microsoft повідомила, що код експлойта тепер «широко доступний» для використання зловмисниками, які націлені на старіші версії операційної системи.
(Зловмисники можуть отримати) доступ до всіх облікових даних користувачів, які використовуються в системі RDP.
Windows 7, Windows Server 2008 & 2008 R2, Windows Server 2003 і старіші, непідтримувані Windows XP піддаються ризику атаки.
За даними BitSight, кількість уразливих систем зросла з 805,665 788,214 наприкінці травня до 81 XNUMX наприкінці липня; це означає, що XNUMX% систем досі не виправлені.
Користувачам служб віддаленого робочого столу рекомендується застосувати патч, який був випущений у травні, а також захистити «прослуховувач» протоколу віддаленого робочого стола системи.
Сьогодні Microsoft оголосила про дві нові вразливості, подібні до Bluekeep, які вона виправила. CVE-2019-1181 та CVE-2019-118. На відміну від попередньої уразливості, ця вада також стосується Windows 10. Саймон Поуп, Директор з реагування на інциденти в Центрі реагування на безпеку Microsoft (MSRC) сказав:
Уражені версії Windows – це Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 та всі підтримувані версії Windows 10, включаючи версії сервера.
Організації повинні ввімкнути аутентифікацію на рівні мережі (NLA), щоб блокувати зловмисників, які не мають облікових даних для автентифікації; але згідно з «телеметричною» інформацією, у більшості випадків вона відсутня.
(Існує) понад 400,000 XNUMX кінцевих точок (без) будь-якої форми аутентифікації на рівні мережі.
Ви також хочете ввімкнути аутентифікацію на рівні мережі (NLA), яка є пом’якшенням для запобігання неавтентифікованого доступу до тунелю RDP. NLA змушує користувачів проходити автентифікацію перед підключенням до віддалених систем, що різко знижує шанси на успіх хробаків на основі RDP. Команда DART настійно рекомендує вам увімкнути NLA незалежно від цього виправлення, оскільки воно пом’якшує цілий ряд інших атак на RDP.
Якщо ви все ще використовуєте Windows 7, важливо встановити доступне оновлення. Нинішнє шкідливе програмне забезпечення — це лише смак того, що буде, коли Windows 7 більше не підтримується, а Microsoft більше не надає виправлення для цієї широко використовуваної операційної системи. Тому найкращим виправленням було б оновлення до Windows 10, яка постійно підтримується.
