Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Kritická zraniteľnosť Windows - zneužiteľné RDP na voľné šírenie malvéru

15.05.2019
Kritická zraniteľnosť v operačnom systéme Windows / Windows Server sa nachádza v službe Remote Desktop Services. Neautorizovanému útočníkovi umožňuje bez interakcie používateľa vzdialene vykonávať kód a prevziať plnú kontrolu nad zraniteľným zariadením. Obdobná zraniteľnosť umožnila v roku 2017 šírenie ransomvéru WannaCry.

 

Dôsledky

  • Vzdialené vykonávanie kódu
  • Inštalovanie malvéru
  • Získanie kontroly nad počítačom

Opis činnosti
CVE-2019-0708

Spoločnosť Microsoft informovala o zraniteľnosti CVE-2019-0708 (Remote Desktop Services Remote Code Execution Vulnerability), ktorá sa nachádza v službe Remote Desktop Services (služba vzdialenej pracovnej plochy). Ide o chybu, ktorá umožňuje vzdialené spustenie kódu neautorizovanému útočníkovi za pomoci protokolu RDP a nevyžaduje pritom žiadnu interakciu používateľa. Útočník využívajúci túto zraniteľnosť môže v cieľovom systéme spustiť ľubovoľný kód, odoslaním špeciálnej požiadavky na cieľový systém, ktorý je zraniteľný. Následne mu je umožnené inštalovať programy, zobraziť, zmeniť alebo mazať údaje prípadne vytvoriť nových používateľov s plnými právami na systém v cieľovom systéme.

Je odporúčané okamžité aktualizovanie systémov prostredníctvom služby Microsoft Windows Update pre systém Windows od verzie XP a Windows Server od verzie 2003 a novšie, prípadne manuálne cez stránky Microsoft a vykonať takto aktualizáciu. V prípade že niektoré systémy nie je možné aktualizovať je odporúčané vypnúť službu RDP alebo nastaviť blokovanie portu 3389 pre službu RDP.

Ďalej je odporúčané zvážiť zapnutie povolenia overovania na úrovni siete (NLA - Network Level Authentication) v systémoch Windows 7, Windows Server 2008/R2. Zapnutím NLA zablokujete neautorizovaným útočníkom možnosť využívania tejto zraniteľnosti. V prípade, že službu RDP využívate.

V rámci LGPO/GPO => Computer\Policies\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Require user authentication for remote connections by using Network Level Authentication\Enable

Alebo v rámci systému Windows => Ovládací panel\Systém a zabezpečenie\Systém\Rozšírené Systémové Nastavenia\Vzdialené použitie\Vzdialená pracovná plocha\Povoliť vzdialené pripojenia k tomuto počítaču\Povoliť pripojenia iba z počítačov so spustenou službou Vzdialená pracovná plocha s overením na úrovni siete (Odporúča sa).

Ak je NLA zapnutá útočník sa bude musieť najskôr autorizovať pomocou platného účtu v systéme na ktorý útočí cez RDP, aby mohol zneužiť túto chybu. V systémoch Windows 8, Windows Server 2012 a novšie je NLA predvolene vynútene zapnuté.

Taktiež je odporúčané zvážiť blokovanie portu 3389 v rámci vstupného firewallu spoločnosti. Toto blokovanie pomôže chrániť systémy, ktoré sú za bránou firewall, pred pokusmi o zneužitie tejto zraniteľnosti z prostredia mimo spoločnosti. Systémy by však mohli byť stále vystavené útokom z vnútra spoločnosti.

Zraniteľné systémy
Operačné systémy Windows a Windows Server

Závažnosť zraniteľnosti
Kritická

Možné škody
Vzdialené vykonávanie kódu
Prevzatie kontroly nad systémom

Odporúčania

  • Odporúča sa bezodkladne aktualizovať operačný systém Windows a Windows Server. Microsoft vydal opravy na Windows XP, Windows Server 2003 a novšie edície Windows. Ak aktualizácia nie je možná, odporúča sa zablokovať TCP port 3389. Bližšie informácie o nastaveniach v texte varovania.
  • Zároveň odporúčame nepublikovať žiadne služby Microsoft smerom dovonku.

 

Odkazy
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
https://thehackernews.com/2019/05/microsoft-security-updates.html
https://arstechnica.com/information-technology/2019/05/microsoft-warns-wormable-windows-bug-could-lead-to-another-wannacry/



<< zoznam oznámení