Як запобігти використанню уразливості BlueKeep та мінімізувати ризик можливих атак?

Компанія ESET представила безкоштовний інструмент для перевірки несанкційованого використання уразливості BlueKeep (CVE-2019-0708) на комп’ютерах Windows.

Як відомо, в атаках шляхом підбору можливих варіантів облікових даних або за допомогою експлойта кіберзлочинці можуть використати пряме з’єднання з протоколом віддаленого робочого столу (RDP) для здійснення шкідливої активності на комп’ютері жертви.

“Багато систем до цього часу залишаються неоновленими, тому існує небезпека появи версії експлойта з можливостями самостійного поширення в мережах жертв”, — пояснюють спеціалісти ESET.

Безкоштовний інструмент ESET BlueKeep (CVE-2019-0708) Detection Tool, розроблений спеціалістами ESET, перевірить пристрій та повідомить про наявність чи відсутність уразливості BlueKeep або про застосування необхідних виправлень. У разі виявлення уразливості в системі інструмент переадресує користувача на веб-сторінку Microsoft для завантаження відповідного виправлення.

Кількість атак, спрямованих на RDP,  зростає

Варто зазначити, що протокол віддаленого робочого столу дозволяє одному комп’ютеру підключитися до іншого через мережу та використовувати його віддалено. За останні кілька років зросла кількість випадків віддаленого підключення кіберзлочинців до сервера Windows через Інтернет за допомогою RDP та входу в систему з правами адміністратора. Це дозволяє зловмисникам завантажувати та встановлювати різні програми на сервер, вимикати програмне забезпечення з безпеки, а також перехоплювати дані жертв.

Найчастіше на компрометованих робочих станціях зловмисники встановлюють програми для майнінгу криптовалют та шкідливе програмне забезпечення з подальшою вимогою викупу.

“Кількість атак, спрямованих на RDP, повільно, але стабільно зростає, і проблема вже стала темою для обговорення під час урядових консультацій у США, Великобританії, Канаді та Австралії, — зазначають спеціалісти ESET. — Поява BlueKeep створила можливості для подальших атак. Уразливість може бути використана для автоматичного поширення загроз в мережах без втручання користувачів”.

Компанія Microsoft присвоїла уразливості BlueKeep найвищий рівень критичності у своїх опублікованих інструкціях для клієнтів, а в Національній базі даних уряду США критичність уразливості CVE-2019-0708 оцінена на 9,8 з 10.

“Користувачі повинні припинити безпосереднє підключення до своїх серверів через Інтернет за допомогою RDP. Хоч це і може спричинити ряд проблем для деяких підприємств. Однак у разі припинення підтримки Windows Server 2008 та Windows 7 в січні 2020 року наявність комп’ютерів з цими версіями операційних систем може становити ризик для бізнесу”, — розповідають спеціалісти ESET.

Як мінімізувати можливість атаки?

У зв’язку з потенційною небезпекою компаніям потрібно якнайшвидше вжити додаткових заходів, які допоможуть мінімізувати ризик можливих атак на основі RDP. Для захисту комп’ютерів від загрози дотримуйтесь наступних рекомендацій:

  • Вимкніть зовнішнє підключення до локальних машин через порт 3389 (TCP/UDP) у брандмауері на периметрі.
  • Якнайшвидше протестуйте та розгорніть виправлення уразливості CVE-2019-0708 (BlueKeep), а також увімкніть аутентифікацію на рівні мережі.
  • Для всіх облікових записів, на які можна увійти через RDP, встановіть складні паролі (довгі ключові фрази, що містять понад 15 символів).
  • Встановіть двофакторну аутентифікацію , як мінімум, на всіх облікових записах, на які існує можливість входу через RDP.
  • Встановіть шлюз віртуальної приватної мережі (VPN) посередником всіх з’єднань RDP за межами локальної мережі.
  • Забезпечте захист програмного забезпечення з безпеки за допомогою унікального надійного паролю, не пов’язаного з іншими обліковими записами.
  • Увімкніть блокування використання уразливості за допомогою програмного забезпечення для захисту робочих станцій.
  • Ізолюйте від решти мережі незахищений комп’ютер, до якого потрібно отримати доступ через Інтернет за допомогою RDP.
  • Якщо на комп’ютері не може бути застосоване виправлення уразливості BlueKeep, потрібно своєчасно замінити цей пристрій.
  • Встановіть блокування geoIP на шлюзі VPN. Якщо персонал перебуває в одній країні, заблокуйте доступ з інших країн для запобіганню атакам іноземних кіберзлочинців.