Kerentanan BlueKeep (CVE-2019-0708) untuk versi Windows yang lebih lama, yang ditujukan untuk mengimplementasikan protokol RDP, belum sempat membuat
keributan , karena sekarang saatnya untuk memasang patch lagi. Sekarang semua versi baru Windows berada di area yang terpengaruh. Jika Anda mengevaluasi potensi ancaman dari mengeksploitasi kerentanan dengan serangan langsung dari Internet menggunakan metode WannaCry, maka itu relevan untuk beberapa ratus ribu host di dunia dan beberapa puluh ribu host di Rusia.
Detail dan rekomendasi untuk perlindungan di bawah potongan.
Kerentanan RCE yang dipublikasikan dalam RDS Remote Desktop Services pada Windows (CVE-2019-1181 / 1182), jika berhasil dieksploitasi, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dari jarak jauh pada sistem yang sedang diserang.
Untuk mengeksploitasi kerentanan, cukup bagi penyerang untuk mengirim permintaan yang dibuat khusus ke layanan desktop jarak jauh dari sistem target menggunakan RDP (protokol RDP itu sendiri tidak rentan).
Penting untuk dicatat bahwa setiap malware yang mengeksploitasi kerentanan ini berpotensi menyebar dari satu komputer yang rentan ke komputer lain, mirip dengan penyebaran malware WannaCry di seluruh dunia pada tahun 2017. Agar operasi berhasil, Anda hanya perlu memiliki akses jaringan yang sesuai ke host atau server dengan versi sistem operasi Windows yang rentan, termasuk jika layanan sistem diterbitkan pada perimeter.
Versi OS Windows yang Terkena Dampak:
- Windows 10 untuk berbasis 32-bit / x64
- Windows 10 Versi 1607 untuk Sistem berbasis 32-bit / x64
- Windows 10 Versi 1703 untuk Sistem berbasis 32-bit / x64
- Windows 10 Versi 1709 untuk Sistem berbasis 32-bit / x64
- Windows 10 Versi 1709 untuk Sistem berbasis ARM64
- Windows 10 Versi 1803 untuk Sistem berbasis 32-bit / x64
- Windows 10 Versi 1803 untuk Sistem berbasis ARM64
- Windows 10 Versi 1809 untuk Sistem berbasis 32-bit / x64
- Windows 10 Versi 1809 untuk Sistem berbasis ARM64
- Windows 10 Versi 1903 untuk Sistem berbasis 32-bit / x64
- Windows 10 Versi 1903 untuk Sistem berbasis ARM64
- Windows 7 untuk Paket Layanan Sistem 1 berbasis 32-bit / x64
- Windows 8.1 untuk sistem berbasis 32-bit / x64
- Windows RT 8.1
- Windows Server 2008 R2 untuk Paket Layanan Sistem Berbasis Itanium 1
- Windows Server 2008 R2 untuk Paket Layanan Sistem 1 berbasis x64
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
Direkomendasikan:
- Instal pembaruan yang diperlukan untuk OS Windows yang rentan, mulai dari node pada perimeter dan selanjutnya untuk seluruh infrastruktur, sesuai dengan prosedur manajemen kerentanan perusahaan:
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182 - Jika ada layanan RDP yang diterbitkan pada perimeter eksternal untuk OS yang rentan, pertimbangkan untuk membatasi (menutup) akses untuk menghilangkan kerentanan.
Saat ini, tidak ada informasi tentang keberadaan PoC / eksploitasi / eksploitasi kerentanan ini, tetapi kami tidak merekomendasikan menunda patch, sering kali kemunculannya hanya beberapa hari.
Kemungkinan langkah-langkah kompensasi tambahan:
- Aktifkan Otentikasi Tingkat Jaringan (NLA). Namun, sistem yang rentan masih akan tetap rentan terhadap eksekusi kode jarak jauh (RCE) jika penyerang memiliki kredensial yang valid yang dapat digunakan untuk otentikasi yang berhasil.
- Pematian sementara protokol RDP untuk versi OS yang rentan hingga instalasi pembaruan, penggunaan metode alternatif akses jarak jauh ke sumber daya.