Компания ESET — лидер в области информационной безопасности — представляет бесплатный инструмент для проверки несанкционированного использования уязвимости BlueKeep (CVE-2019-0708) на компьютерах Windows. В частности, в атаках путем подбора возможных вариантов учетных данных или с помощью эксплойта киберпреступники могут использовать прямое соединение с протоколом удаленного рабочего стола (RDP) для осуществления вредоносной активности на компьютере жертвы.
«Многие системы до сих пор остаются не обновленными, поэтому существует опасность появления версии эксплойта с возможностями самостоятельного распространения в сетях жертв», — объясняют специалисты ESET.
Бесплатный инструмент ESET BlueKeep (CVE-2019-0708) Detection Tool, разработанный специалистами ESET, проверит устройство и сообщит о наличии или отсутствии уязвимости BlueKeep или о применении необходимых исправлений. В случае выявления уязвимости в системе инструмент переадресует пользователя на веб-страницу Microsoft для загрузки соответствующего исправления.
Запуск инструмента в системе Windows 7
Стоит отметить, что протокол удаленного рабочего стола позволяет одному компьютеру подключиться к другому через сеть и использовать его удаленно. За последние несколько лет возросло количество случаев удаленного подключения киберпреступников к серверу Windows через Интернет с помощью RDP и входа в систему с правами администратора. Это позволяет злоумышленникам загружать и устанавливать различные программы на сервер, выключать программное обеспечение по безопасности, а также перехватывать данные жертв.
Чаще всего на компрометированных рабочих станциях злоумышленники устанавливают программы для майнинга криптовалюты и вредоносное программное обеспечение с последующим требованием выкупа в организации.
«Количество атак, направленных на RDP, медленно, но стабильно растет, и проблема уже стала темой для обсуждения во время правительственных консультаций в США, Великобритании, Канаде и Австралии, — отмечают специалисты ESET. — Появление BlueKeep создало возможности для дальнейших атак. Уязвимость может быть использована для автоматического распространения угроз в сетях без вмешательства пользователей».
Компания Microsoft присвоила уязвимости BlueKeep высокий уровень критичности в своих опубликованных инструкциях для клиентов, а в Национальной базе данных правительства США критичность уязвимости CVE-2019-0708 оценена на 9,8 из 10.
«Пользователи должны прекратить непосредственное подключение к своим серверам через Интернет с помощью RDP. Хотя это и может вызвать ряд проблем для некоторых предприятий. Однако в случае прекращения поддержки Windows Server 2008 и Windows 7 в январе 2020 года наличие компьютеров с этими версиями операционных систем может представлять риск для бизнеса», — рассказывают специалисты ESET.
В связи с потенциальной опасностью компаниям необходимо как можно быстрее принять дополнительные меры, которые помогут минимизировать риск возможных атак на основе RDP. В частности, для защиты компьютеров от угрозы специалисты подготовили перечень рекомендаций:
- Выключите внешнее подключение к локальным машинам через порт 3389 (TCP/UDP) в брандмауэре на периметре.
- Как можно быстрее протестируйте и разверните исправления уязвимости CVE-2019-0708 (BlueKeep), а также включите аутентификацию на уровне сети.
- Для всех учетных записей, на которые можно войти через RDP, установите сложные пароли (длинные ключевые фразы, которые содержат более 15 символов).
- Установите двухфакторную аутентификацию, как минимум, на всех учетных записях, на которые существует возможность входа через RDP.
- Установите шлюз виртуальной частной сети (VPN) посредником всех соединений RDP за пределами локальной сети.
- Обеспечьте защиту программного обеспечения по безопасности с помощью уникального надежного пароля, не связанного с другими учетными записями.
- Включите блокирование использования уязвимости с помощью программного обеспечения для защиты рабочих станций.
- Изолируйте от остальной сети незащищенный компьютер, к которому нужно получить доступ через Интернет с помощью RDP.
- Если на компьютере не может быть применено исправление уязвимости BlueKeep, необходимо своевременно заменить это устройство.
- Установите блокировку geoIP на шлюзе VPN. Если персонал находится в одной стране, заблокируйте доступ из других стран для предотвращения атак иностранных киберпреступников.
Стоит отметить, что BlueKeep выявляется как RDP/Exploit.CVE-2019-0708 c помощью модуля защиты от сетевых атак. Эта технология доступна в продуктах для дома ESET Internet Security и ESET Smart Security Premium, а также корпоративных продуктах для защиты рабочих станций, например, комплексных решениях ESET Endpoint Protection Advanced, ESET Secure Business и других.
Загрузить инструмент для проверки устройств на наличие уязвимости можно по ссылке.
Более подробную информацию об уязвимостях в протоколе удаленного рабочего стола читайте в исследовании специалистов ESET.