14. května 2019 společnost Microsoft oznámila kritickou zranitelnost při implementaci služby Remote Table Service (dříve Terminal Services) ve Windows, která umožňuje neověřenému útočníkovi vzdáleně spouštět libovolný kód v cílovém systému prostřednictvím RDP. Chyba zabezpečení RCE (Remote Code Execution) je popsána v CVE-2019-0708 a je označena neoficiálním názvem BlueKeep. Zranitelnosti jsou ovlivněny pouze starší verze systému Windows - od systému Windows XP (Windows Server 2003) do systému Windows 7 (Windows Server 2008 R2). Novější verze (Windows 10, 8.1 a Windows Server 2012R2 / 2016/2019) nejsou touto chybou zabezpečení v RDS ovlivněny..
Obsah:
- Chyba zabezpečení RCE CVE-2019-0708 ve službách vzdálené plochy
- Ochrana proti zranitelnosti BlueKeep CVE-2019-0708
- Aktualizace Windows pro ochranu proti zranitelnosti RDP BlueKeep
Chyba zabezpečení RCE CVE-2019-0708 ve službách vzdálené plochy
Tato chyba zabezpečení není přítomna v samotném protokolu RDP, ale v implementaci služby Vzdálená plocha ve starších verzích systému Windows. Chcete-li tuto chybu zabezpečení zneužít, potřebujete pouze síťový přístup k počítači s postiženou verzí systému Windows a aktivovanou službou RDP (přístup k nim by neměly blokovat brány firewall). I.e. Pokud je váš hostitel Windows přístupný z Internetu přes RDP, znamená to, že tuto chybu zabezpečení může zneužít kdokoli. Tuto chybu zabezpečení lze dosáhnout zasláním zvláštního požadavku do služby Vzdálená plocha prostřednictvím protokolu RDP, přičemž předběžná autentizace vzdáleného uživatele není nutná. Po implementaci chyby zabezpečení BlueKeep může útočník vzdáleně spustit libovolný kód v cílovém systému s oprávněními SYSTÉMU.
Microsoft poznamenává, že existuje velmi vysoká pravděpodobnost výskytu automatických červů, které budou tuto chybu zabezpečení v RDS šířit v lokálních sítích. Rozsah útoků tak může dosáhnout výsledků červa WannaCry (použitá zranitelnost v protokolu SMB CVE-2017-0144 - EternalBlue).
Ochrana proti zranitelnosti BlueKeep CVE-2019-0708
Společnost Microsoft doporučuje rychlou instalaci aktualizací zabezpečení (uvedených v následující části), aby byla chráněna před zranitelností CVE-2019-0708 (BlueKeep). Chcete-li snížit rizika implementace zranitelnosti v systémech, dokud není aktualizace nainstalována na vnějším obvodu, doporučujeme následující akce:
- Dočasně deaktivujte přístup RDP k počítačům a deaktivujte službu Vzdálená plocha nebo zablokujte externí přístup k RDP v obvodových branách sítě a deaktivujte předávání portů RDP do místní sítě;
- Povolit podporu Ověření na úrovni sítě (NLA - Ověření na úrovni sítě) v nastavení RDP v počítači) - je možné konfigurovat jak v systému Windows 7/2008 R2, tak v systému Windows XP SP3. Pokud je povolena služba NLA, musí se útočník při implementaci této chyby zabezpečení nejprve ověřit pomocí služby Vzdálená plocha pomocí platného účtu (útok lze provést pouze pod oprávněným uživatelem).
Aktualizace Windows pro ochranu proti zranitelnosti RDP BlueKeep
Společnost Microsoft vydala aktualizace pro všechny operační systémy Windows, které jsou citlivé na CVE-2019-0708 (BlueKeep). Opravy jsou k dispozici ke stažení v katalogu Microsoft Update..
Přestože společnost Microsoft přestala podporovat systémy Windows XP a Windows Server 2003, byly vydány aktualizace pro ochranu BlueKeep pro tyto starší systémy. Což opět zdůrazňuje závažnost zjištěné zranitelnosti a vysoké riziko jejího hromadného využívání.
Níže jsou uvedeny přímé odkazy na ruční stahování aktualizací pro populární verze systému Windows:
KB4500331:
Windows XP SP3 x86, x64 Windows XP Embedded, Windows Server 2003 SP2 x86, x64 - https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331
KB4499175:
- Windows Server 2008 R2 SP1 a Windows 7 SP1 x64 - windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
- Windows 7 x86 SP1 - windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Ve Windows XP a 2003 musí být aktualizace kb4500331 nainstalovány ručně.
Aktualizace systému Windows 7 a Windows Server 2008 R2 KB4499175 již k dispozici pro instalaci přes WSUS (v závislosti na nastavení schválení aktualizace) a Microsoft Update. Můžete si ji však nainstalovat ručně ze souboru msu pomocí wusa.exe:
wusa.exe "C: \ Install \ windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu" / quiet / warnrestart