BlueKeep-2 - todas as novas versões do Windows agora estão vulneráveis

A vulnerabilidade BlueKeep (CVE-2019-0708) para versões mais antigas do Windows, com o objetivo de implementar o protocolo RDP, ainda não teve tempo de emitir ruído , pois é hora de colocar os patches novamente. Agora todas as novas versões do Windows estão na área afetada. Se avaliarmos a ameaça potencial de explorar vulnerabilidades por meio de um ataque direto da Internet usando o método WannaCry, isso é relevante para várias centenas de milhares de hosts no mundo e várias dezenas de milhares de hosts na Rússia.



Detalhes e recomendações para proteção sob o corte.

As vulnerabilidades publicadas pelo RCE nos Serviços de Área de Trabalho Remota do RDS no Windows (CVE-2019-1181 / 1182), se exploradas com êxito, permitem que um invasor não autenticado execute remotamente o código no sistema atacado.

Para explorar as vulnerabilidades, um invasor só precisa enviar uma solicitação especialmente criada para o serviço de área de trabalho remota dos sistemas de destino usando o RDP (o próprio protocolo RDP não é vulnerável).

É importante observar que qualquer malware que explora essa vulnerabilidade pode se espalhar de um computador vulnerável para outro, semelhante à disseminação do malware WannaCry em todo o mundo em 2017. Para uma operação bem-sucedida, você só precisa ter acesso de rede apropriado a um host ou servidor com uma versão vulnerável do sistema operacional Windows, inclusive se o serviço do sistema for publicado no perímetro.

Versões afetadas do sistema operacional Windows:

• Windows 10 para 32 bits / x64
• Windows 10 versão 1607 para sistemas baseados em 32 bits / x64
• Windows 10 Versão 1703 para sistemas baseados em 32 bits / x64
• Windows 10 versão 1709 para sistemas baseados em 32 bits / x64
• Windows 10 Versão 1709 para sistemas baseados em ARM64
• Windows 10 versão 1803 para sistemas baseados em 32 bits / x64
• Windows 10 versão 1803 para sistemas baseados em ARM64
• Windows 10 versão 1809 para sistemas baseados em 32 bits / x64
• Windows 10 versão 1809 para sistemas baseados em ARM64
• Windows 10 versão 1903 para sistemas baseados em 32 bits / x64
• Windows 10 versão 1903 para sistemas baseados em ARM64
• Windows 7 para sistemas Service Pack 1 de 32 bits / x64
• Windows 8.1 para sistemas baseados em 32 bits / x64
• Windows RT 8.1
• Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1
• Windows Server 2008 R2 para sistemas Service Pack 1 baseados em x64
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019

Recomendado:

1. Instale as atualizações necessárias para o sistema operacional Windows vulnerável, iniciando nos nós no perímetro e depois em toda a infraestrutura, de acordo com os procedimentos de gerenciamento de vulnerabilidades da empresa:
   portal.msrc.microsoft.com/pt-BR/security-guidance/advisory/CVE-2019-1181
   portal.msrc.microsoft.com/pt-BR/security-guidance/advisory/CVE-2019-1182
2. Se houver um serviço RDP publicado no perímetro externo para um SO vulnerável, considere restringir (fechar) o acesso para eliminar vulnerabilidades.

No momento, não há informações sobre a presença de PoC / exploração / exploração dessas vulnerabilidades, mas não recomendamos o atraso de correções, pois sua aparência é uma questão de vários dias.

Possíveis medidas compensatórias adicionais:

1. Habilite a autenticação no nível da rede (NLA). No entanto, os sistemas vulneráveis ​​ainda permanecerão vulneráveis ​​à execução remota de código (RCE) se o invasor tiver credenciais válidas que possam ser usadas para autenticação bem-sucedida.
2. Desligamento temporário do protocolo RDP para versões vulneráveis ​​do sistema operacional até a instalação de atualizações, o uso de métodos alternativos de acesso remoto aos recursos.