Die BlueKeep-Sicherheitsanfälligkeit (CVE-2019-0708) für ältere Windows-Versionen, die auf die Implementierung des RDP-Protokolls abzielt, hatte noch keine Zeit,
Rauschen zu verursachen , da es an der Zeit ist, die Patches erneut zu installieren. Jetzt befinden sich alle neuen Windows-Versionen im betroffenen Bereich. Wenn wir die potenzielle Bedrohung durch die Ausnutzung von Sicherheitslücken durch einen direkten Angriff aus dem Internet mithilfe der WannaCry-Methode bewerten, ist dies für mehrere hunderttausend Hosts auf der Welt und mehrere zehntausend Hosts in Russland relevant.
Details und Empfehlungen zum Schutz unter dem Schnitt.
Veröffentlichte RCE-Schwachstellen in RDS-Remotedesktopdiensten unter Windows (CVE-2019-1181 / 1182) ermöglichen es einem nicht authentifizierten Angreifer, Code auf dem angegriffenen System remote auszuführen, wenn er erfolgreich ausgenutzt wird.
Um die Sicherheitsanfälligkeiten auszunutzen, muss ein Angreifer lediglich eine speziell gestaltete Anforderung mithilfe von RDP an den Remotedesktopdienst der Zielsysteme senden (das RDP-Protokoll selbst ist nicht anfällig).
Es ist wichtig zu beachten, dass sich jede Malware, die diese Sicherheitsanfälligkeit ausnutzt, möglicherweise von einem anfälligen Computer auf einen anderen ausbreiten kann, ähnlich wie die weltweite Verbreitung von WannaCry-Malware im Jahr 2017. Für einen erfolgreichen Betrieb benötigen Sie nur einen entsprechenden Netzwerkzugriff auf einen Host oder Server mit einer anfälligen Version des Windows-Betriebssystems, auch wenn der Systemdienst auf dem Perimeter veröffentlicht ist.
Betroffene Windows-Betriebssystemversionen:
- Windows 10 für 32-Bit / x64-basiert
- Windows 10 Version 1607 für 32-Bit / x64-basierte Systeme
- Windows 10 Version 1703 für 32-Bit / x64-basierte Systeme
- Windows 10 Version 1709 für 32-Bit / x64-basierte Systeme
- Windows 10 Version 1709 für ARM64-basierte Systeme
- Windows 10 Version 1803 für 32-Bit / x64-basierte Systeme
- Windows 10 Version 1803 für ARM64-basierte Systeme
- Windows 10 Version 1809 für 32-Bit / x64-basierte Systeme
- Windows 10 Version 1809 für ARM64-basierte Systeme
- Windows 10 Version 1903 für 32-Bit / x64-basierte Systeme
- Windows 10 Version 1903 für ARM64-basierte Systeme
- Windows 7 für 32-Bit / x64-basiertes Systems Service Pack 1
- Windows 8.1 für 32-Bit / x64-basierte Systeme
- Windows RT 8.1
- Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
- Windows Server 2008 R2 für x64-basiertes Systems Service Pack 1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
Empfohlen:
- Installieren Sie die erforderlichen Updates für anfällige Windows-Betriebssysteme, beginnend an den Knoten am Perimeter und weiter für die gesamte Infrastruktur, gemäß den Schwachstellenmanagementverfahren des Unternehmens:
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182 - Wenn auf dem externen Perimeter ein veröffentlichter RDP-Dienst für ein anfälliges Betriebssystem vorhanden ist, sollten Sie den Zugriff einschränken (schließen), um Schwachstellen zu beseitigen.
Derzeit gibt es keine Informationen über das Vorhandensein von PoC / Exploit / Exploitation dieser Sicherheitsanfälligkeiten. Wir empfehlen jedoch nicht, Patches zu verzögern. Oft ist ihr Auftreten eine Frage von mehreren Tagen.
Mögliche zusätzliche Ausgleichsmaßnahmen:
- Aktivieren Sie die Authentifizierung auf Netzwerkebene (NLA). Anfällige Systeme sind jedoch weiterhin anfällig für Remote Code Execution (RCE), wenn der Angreifer über gültige Anmeldeinformationen verfügt, die für eine erfolgreiche Authentifizierung verwendet werden können.
- Vorübergehendes Herunterfahren des RDP-Protokolls für anfällige Versionen des Betriebssystems bis zur Installation von Updates, Verwendung alternativer Methoden für den Remotezugriff auf Ressourcen.