В середине мая корпорация Microsoft заявила, что уязвимость под названием BlueKeep обнаружена в Windows XP, Windows 7 и других старых системах Windows. Тогда Microsoft выпустила патч для защиты своих пользователей от этой уязвимости выполнения удаленного кода в протоколе удаленного рабочего стола (Remote Desktop Service). По оценкам, эта уязвимость затрагивала более миллиона пользователей.
В конце июля Rapid7 сообщил о существенном всплеске вредоносной RDP-активности с момента обнаружения BlueKeep. Более того, указывалось, что для данной уязвимости существует как минимум один известный и работоспособный коммерческий эксплойт.
Источник: Rapid 7
Плохие времена для RDP -соединений
На прошлой неделе Microsoft сообщила, что обнаружила четыре новых уязвимости в службе удаленного рабочего стола (Remote Desktop Service): CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 и CVE-2019-1226. Подобно BlueKeep, эти уязвимости являются червеобразными. Это означает, что вредоносная программа, которая использует данные уязвимости, может самостоятельно распространяться среди уязвимых компьютеров без вмешательства со стороны пользователя.
Версии Windows, которые могут пострадать от этой уязвимости: Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 и все совместимые версии Windows 10, включая серверные версии. Правда, Microsoft добавила об отсутствии каких-либо доказательств тому, что кто-либо знает об этих уязвимостях.
Microsoft объясняет, что системы с активированной проверкой подлинности на уровне сети (Network Level Authentication, NLA) частично защищены, т.к. NLA требует авторизации до того момента, как может сработать уязвимость. Однако эти системы по-прежнему уязвимы перед выполнением удаленного кода, если злоумышленник имеет действующие регистрационные данные, которые могут быть использованы для авторизации.
Как и в случае со всеми уязвимостями, основным шагом защите от них является оперативное применение соответствующих патчей. Корпорация Microsoft уже выпустила патчи для этих четырех новых уязвимостей (CVE-2019-1181; CVE-2019-1182; CVE-2019-1222; CVE-2019-1226).
Патчи являются важной мерой безопасности, которые способны остановить огромное количество кибер-угроз прежде, чем они могут причинить какой-либо ущерб. Фактически, по данным исследования, 57% компаний, которые пострадали от нарушений, заявили, что это было возможно в результате использования уязвимости, для закрытия которой уже существовал патч.
Чтобы упростить задачу поиска и применения патчей для ваших систем в компании, решение Panda Adaptive Defense имеет модуль Panda Patch Management. Patch Management осуществляет аудит и мониторинг обновлений и патчей для операционных систем Windows и сторонних приложений, а также автоматически расставляет между ними приоритеты. При обнаружении эксплойтов и вредоносных программ, модуль уведомляет вас о наличии соответствующих патчей. Установка патчей может автоматически запускаться как мгновенно, так и по настраиваемому в консоли управления расписанию, при этом при необходимости компьютер может быть временно изолирован от корпоративной сети. Таким образом, вы сможете управлять патчами, которые требуются для вашей компании, при этом для решения данной задачи не требуется выделять больше времени или других ресурсов. Модуль позволяет дополнить систему защиты, чтобы максимально защитить активы компании.
Еще одной важной мерой защиты RDP-соединений является их перенос из прямого Интернет-канала в VPN-канал. В том же случае, если в таких подключениях нет острой необходимости, лучше вообще отключить удаленный рабочий стол.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.