14. mája 2019 spoločnosť Microsoft oznámila kritickú zraniteľnosť pri implementácii služby Remote Table Service (predtým Terminal Services) v systéme Windows, ktorá umožňuje neoverenému útočníkovi vzdialene vykonať ľubovoľný kód v cieľovom systéme prostredníctvom protokolu RDP. Chyba zabezpečenia RCE (Remote Code Execution) je opísaná v dokumente CVE-2019-0708 a je označená ako neoficiálny názov BlueKeep. Zraniteľnosti sú ovplyvnené iba staršie verzie systému Windows - od systému Windows XP (Windows Server 2003) do systému Windows 7 (Windows Server 2008 R2). Novšie verzie (Windows 10, 8.1 a Windows Server 2012R2 / 2016/2019) nie sú touto chybou zabezpečenia v systéme RDS ovplyvnené..
obsah:
- Chyba zraniteľnosti RCE CVE-2019-0708 v službách vzdialenej pracovnej plochy
- Ochrana pred zraniteľnosťou BlueKeep CVE-2019-0708
- Aktualizácie systému Windows na ochranu pred zraniteľnosťou RDP BlueKeep
Chyba zraniteľnosti RCE CVE-2019-0708 v službách vzdialenej pracovnej plochy
Táto chyba zabezpečenia sa nenachádza v samotnom protokole RDP, ale v implementácii služby Remote Desktop Service v starších verziách systému Windows. Aby ste túto zraniteľnosť zneužili, potrebujete iba sieťový prístup k počítaču s postihnutou verziou systému Windows as povolenou prítomnosťou služby RDP (prístup, ku ktorému by nemali byť blokované brány firewall). tj Ak je váš hostiteľ Windows prístupný z Internetu cez RDP, znamená to, že túto chybu môže zneužiť ktokoľvek. Táto chyba zabezpečenia sa dosahuje odoslaním osobitnej žiadosti do služby Remote Desktop Service prostredníctvom protokolu RDP, zatiaľ čo predbežné overenie totožnosti používateľa nie je potrebné. Po implementácii zraniteľnosti BlueKeep môže útočník vzdialene vykonať ľubovoľný kód v cieľovom systéme s oprávneniami SYSTEM..
Microsoft poznamenáva, že existuje veľmi vysoká pravdepodobnosť výskytu automatických červov, ktoré budú túto zraniteľnosť v systéme RDS šíriť v lokálnych sieťach. Rozsah útokov tak môže dosiahnuť výsledky červa WannaCry (použitá zraniteľnosť v protokole SMB CVE-2017-0144 - EternalBlue).
Ochrana pred zraniteľnosťou BlueKeep CVE-2019-0708
Na ochranu pred zraniteľnosťou CVE-2019-0708 (BlueKeep) spoločnosť Microsoft odporúča, aby ste nainštalovali aktualizácie zabezpečenia rýchlo (uvedené v nasledujúcej časti). Na zníženie rizika implementácie zraniteľnosti v systémoch, kým nie je aktualizácia nainštalovaná na vonkajšom obvode, sa odporúčajú nasledujúce akcie:
- Dočasne vypnite prístup k počítačom RDP a zakážte službu Vzdialená pracovná plocha alebo zablokujte externý prístup k programom RDP na obvodových bránach siete a zakážte preposielanie portov RDP do miestnej siete;
- Povoliť podporu Overenie na úrovni siete (NLA - Autentifikácia na úrovni siete) v nastaveniach RDP na počítači) - je možné konfigurovať tak v systéme Windows 7/2008 R2, ako aj v systéme Windows XP SP3. Ak je povolená licencia NLA, útočník sa musí kvôli implementácii zraniteľnosti najprv autentifikovať pomocou služby Remote Desktop Services pomocou platného účtu (útok je možné implementovať iba ako legitímny používateľ).
Aktualizácie systému Windows na ochranu pred zraniteľnosťou RDP BlueKeep
Spoločnosť Microsoft vydala aktualizácie pre všetky operačné systémy Windows, ktoré sú citlivé na CVE-2019-0708 (BlueKeep). Opravy sú k dispozícii na stiahnutie v katalógu Microsoft Update..
Napriek tomu, že spoločnosť Microsoft prestala podporovať systémy Windows XP a Windows Server 2003, boli vydané aktualizácie pre ochranu BlueKeep pre tieto staršie systémy. Čo znova zdôrazňuje závažnosť zistenej zraniteľnosti a vysoké riziko jej hromadného zneužívania.
Nižšie sú uvedené priame odkazy na manuálne sťahovanie aktualizácií pre populárne verzie systému Windows:
KB4500331:
Windows XP SP3 x86, x64 Windows XP Embedded, Windows Server 2003 SP2 x86, x64 - https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331
KB4499175:
- Windows Server 2008 R2 SP1 a Windows 7 SP1 x64 - Windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
- Windows 7 x86 SP1 - Windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Vo Windows XP a 2003 sa aktualizácie kb4500331 budú musieť nainštalovať manuálne.
Pre Windows 7 a Windows Server 2008 R2 Update KB4499175 už k dispozícii na inštaláciu prostredníctvom služby WSUS (v závislosti od nastavení schválenia aktualizácie) a služby Microsoft Update. Môžete ho však nainštalovať ručne zo súboru msu pomocou wusa.exe:
wusa.exe "C: \ Install \ windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu" / quiet / warnrestart