ESET розробила інструмент для перевірки використання уразливості BlueKeep

Наступна новина

Компанія ESET — лідер у галузі інформаційної безпеки — представляє безкоштовний інструмент для перевірки несанкціонованого використання уразливості BlueKeep (CVE-2019-0708) на комп’ютерах Windows. Зокрема в атаках шляхом підбору можливих варіантів облікових даних або за допомогою експлойта кіберзлочинці можуть використати пряме з’єднання з протоколом віддаленого робочого столу (RDP) для здійснення шкідливої активності на комп’ютері жертви.

«Багато систем до цього часу залишаються неоновленими, тому існує небезпека появи версії експлойта з можливостями самостійного поширення в мережах жертв», — пояснюють спеціалісти ESET.

Безкоштовний інструмент ESET BlueKeep (CVE-2019-0708) Detection Tool, розроблений спеціалістами ESET, перевірить пристрій та повідомить про наявність чи відсутність уразливості BlueKeep або про застосування необхідних виправлень. У разі виявлення уразливості в системі інструмент переадресує користувача на веб-сторінку Microsoft для завантаження відповідного виправлення.

Безкоштовне рішення ESET для виявлення BlueKeep доступне для скачування.

Запуск інструмента у системі Windows 7

Варто зазначити, що протокол віддаленого робочого столу дозволяє одному комп'ютеру підключитися до іншого через мережу та використовувати його віддалено. За останні кілька років зросла кількість випадків віддаленого підключення кіберзлочинців до сервера Windows через Інтернет за допомогою RDP та входу в систему з правами адміністратора. Це дозволяє зловмисникам завантажувати та встановлювати різні програми на сервер, вимикати програмне забезпечення з безпеки, а також перехоплювати дані жертв.

Найчастіше на компрометованих робочих станціях зловмисники встановлюють програми для майнінгу криптовалют та шкідливе програмне забезпечення з подальшою вимогою викупу.

«Кількість атак, спрямованих на RDP, повільно, але стабільно зростає, і проблема вже стала темою для обговорення під час урядових консультацій у США, Великобританії, Канаді та Австралії, — зазначають спеціалісти ESET. — Поява BlueKeep створила можливості для подальших атак. Уразливість може бути використана для автоматичного поширення загроз в мережах без втручання користувачів».

Компанія Microsoft присвоїла уразливості BlueKeep найвищий рівень критичності у своїх опублікованих інструкціях для клієнтів, а в Національній базі даних уряду США критичність уразливості CVE-2019-0708 оцінена на 9,8 з 10.

Рекомендації спеціалістів ESET для захисту пристроїв від уразливості BlueKeep.

«Користувачі повинні припинити безпосереднє підключення до своїх серверів через Інтернет за допомогою RDP. Хоч це і може спричинити ряд проблем для деяких підприємств. Однак у разі припинення підтримки Windows Server 2008 та Windows 7 в січні 2020 року наявність комп'ютерів з цими версіями операційних систем може становити ризик для бізнесу», — розповідають спеціалісти ESET.

У зв’язку з потенційною небезпекою компаніям потрібно якнайшвидше вжити додаткових заходів, які допоможуть мінімізувати ризик можливих атак на основі RDP. Зокрема для захисту комп’ютерів від загрози спеціалісти підготували перелік рекомендацій:

  1. Вимкніть зовнішнє підключення до локальних машин через порт 3389 (TCP/UDP) у брандмауері на периметрі.
  2. Якнайшвидше протестуйте та розгорніть виправлення уразливості CVE-2019-0708 (BlueKeep), а також увімкніть аутентифікацію на рівні мережі.
  3. Для всіх облікових записів, на які можна увійти через RDP, встановіть складні паролі (довгі ключові фрази, що містять понад 15 символів).
  4. Встановіть двофакторну аутентифікацію , як мінімум, на всіх облікових записах, на які існує можливість входу через RDP.
  5. Встановіть шлюз віртуальної приватної мережі (VPN) посередником всіх з'єднань RDP за межами локальної мережі.
  6. Забезпечте захист програмного забезпечення з безпеки за допомогою унікального надійного паролю, не пов’язаного з іншими обліковими записами.
  7. Увімкніть блокування використання уразливості за допомогою програмного забезпечення для захисту робочих станцій.
  8. Ізолюйте від решти мережі незахищений комп'ютер, до якого потрібно отримати доступ через Інтернет за допомогою RDP.
  9. Якщо на комп’ютері не може бути застосоване виправлення уразливості BlueKeep, потрібно своєчасно замінити цей пристрій.
  10. Встановіть блокування geoIP на шлюзі VPN. Якщо персонал перебуває в одній країні, заблокуйте доступ з інших країн для запобіганню атакам іноземних кіберзлочинців.

Варто зазначити, що BlueKeep виявляється як RDP/Exploit.CVE-2019-0708 за допомогою модуля захисту від мережевих атак. Ця технологія наявна у продуктах для дому ESET Internet Security та ESET Smart Security Premium, а також корпоративних продуктах для захисту робочих станцій, наприклад, комплексних рішеннях ESET Endpoint Protection AdvancedESET Secure Business та інших.

Завантажити інструмент для перевірки пристроїв на наявність уразливості можна за посиланням.

Детальнішу інформацію про уразливості в протоколі робочого столу читайте в дослідженні спеціалістів ESET.