Компанія ESET — експерт у галузі інформаційної безпеки — попереджає про уразливість BlueKeep у службах віддаленого робочого столу (RDP), яка незабаром може стати новим вектором для розповсюдження шкідливих програм. У разі використання уразливості кіберзлочинці зможуть отримати доступ до комп'ютера жертви без необхідних облікових даних або взаємодії з користувачем.
Варто зазначити, що виправлення від компанії Microsoft для операційних систем доступне з 14 травня.
Ситуація з BlueKeep нагадує події двох років тому. Зокрема 14 березня 2017 року компанія Microsoft випустила виправлення для уразливості в протоколі Server Message Block (SMB). Причиною цього стала поява експлойту EternalBlue – шкідливий інструмент, який нібито був розроблений і викрадений з Агентства національної безпеки (NSA). Через місяць EternalBlue потрапив в Інтернет, а через кілька тижнів був використаний у двох найбільш руйнівних кібератаках — WannaCry (ptor) і NotPetya (Diskcoder.C).
Подібний сценарій може трапитися і з BlueKeep. Цілком ймовірно, що незабаром на «чорних» ринках з’явиться експлойт, який використовує цю уразливість. Якщо це станеться, шкідлива програма може стати дуже популярною серед кіберзлочинців, а також прибутковим джерелом доходу для його автора.
У зв’язку з потенційною небезпекою спеціалісти ESET підготували рекомендації для захисту від атак з використанням цієї уразливості.
- Застосувати оновлення для операційної системи. Програмне забезпечення Windows має бути оновлено до найактуальнішої версії. У разі використання Windows XP або Windows 2003 виправлення потрібно завантажити та застосувати якомога швидше.
- Вимкнути протокол віддаленого робочого столу (RDP). Незважаючи на те, що RDP не є уразливим, Microsoft рекомендує організаціям вимкнути його, поки не будуть застосовані актуальні оновлення. Крім цього, для мінімізації ймовірності атаки віддалений робочий стіл має бути ввімкнений лише на тих пристроях, де протокол дійсно потрібен.
- Правильно налаштувати протокол віддаленого робочого столу. Якщо організації потрібно використовувати RDP, уникайте доступу до публічної мережі Інтернет. Тільки пристроям в локальній мережі або завдяки доступу через VPN можна встановлювати віддалений сеанс. Іншим варіантом є фільтрування доступу до віддаленого робочого столу за допомогою брандмауера, що надає дозвіл лише певному діапазону IP. Якщо це неможливо, варто використовувати багатофакторну аутентифікацію.
- Застосувати аутентифікацію на рівні мережі (NLA). Таким чином перед встановленням віддаленого сеансу користувач має здійснити аутентифікацію. Однак, як додає компанія Microsoft, системи все ще можуть бути уразливими, якщо кіберзлочинець має актуальні дані для входу в обліковий запис, які можна використати для успішної аутентифікації.
- Використовуйте багаторівневе рішення для виявлення та перешкоджання атакам, що використовують уразливість на рівні мережі.