14. маја 2019. Мицрософт је објавио критичну рањивост у имплементацији услуге удаљене таблице (раније Терминал Сервицес) у Виндовс-у, што омогућава неовлашћеном нападачу да даљинско извршавање произвољног кода на циљном систему путем РДП протокола. Рањивост РЦЕ (Ремоте Цоде Екецутион) је описана у ЦВЕ-2019-0708 и добио је незванично име БлуеКееп. На рањивост утичу само старије верзије оперативног система Виндовс - од Виндовс КСП (Виндовс Сервер 2003) до Виндовс 7 (Виндовс Сервер 2008 Р2). Новије верзије (Виндовс 10, 8.1 и Виндовс Сервер 2012Р2 / 2016/2019) нису угрожене овом рањивошћу у РДС-у.
Садржај:
- РЦЕ рањивост ЦВЕ-2019-0708 у услугама удаљене радне површине
- Заштита од рањивости БлуеКееп ЦВЕ-2019-0708
- Виндовс се ажурира како би се заштитио од РДП рањивости БлуеКееп
РЦЕ рањивост ЦВЕ-2019-0708 у услугама удаљене радне површине
Рањивост не постоји у самом протоколу РДП, већ у примени услуге удаљене радне површине у старијим верзијама оперативног система Виндовс. Да бисте искористили рањивост, потребан вам је мрежни приступ рачунару са погођеном верзијом Виндовса и присуство РДП услуге омогућене на њему (приступ којем не би требало да блокирају заштитни зидови). И.е. ако је ваш Виндовс домаћин доступан путем Интернета путем РДП-а, то значи да рањивост може било ко искористити. Рањивост се остварује слањем посебног захтева сервису удаљене радне површине путем РДП-а, док пре-оверутицатион корисника на даљину није потребна. Након имплементације рањивости БлуеКееп, нападач може даљински извршавати произвољни код на циљном систему са привилегијама СИСТЕМ-а.
Мицрософт напомиње да постоји веома велика вероватноћа појаве аутоматских црва који ће искористити рањивост у РДС-у за ширење на локалне мреже. Дакле, скала напада може постићи резултате ВаннаЦри црва (користи се рањивост у СМБ протоколу ЦВЕ-2017-0144 - ЕтерналБлуе).
Заштита од рањивости БлуеКееп ЦВЕ-2019-0708
Да бисте се заштитили од рањивости ЦВЕ-2019-0708 (БлуеКееп), Мицрософт препоручује да брзо инсталирате безбедносне исправке (наведене у следећем одељку). Да би се смањили ризици примене рањивости на системима док се ажурирање не инсталира на спољни обод, препоручују се следеће акције:
- Привремено онемогућите РДП приступ рачунарима и онемогућите услуге удаљене радне површине или блокирајте екстерни приступ РДП-у на заштитним зидовима мрежног обода и онемогућите прослеђивање РДП портова у локалну мрежу;
- Омогућите подршку Аутоматизација на нивоу мреже (НЛА - Аутентификација на нивоу мреже) у подешавањима РДП-а на рачунару) - могуће је конфигурирати и у оперативном систему Виндовс 7/2008 Р2 и у Виндовс КСП СП3. Када је НЛА омогућен, да би имплементирао рањивост, нападач прво мора да се аутентификује помоћу услуга удаљене радне површине користећи валидан налог (напад се може спровести само као легитимни корисник).
Виндовс се ажурира како би се заштитио од РДП рањивости БлуеКееп
Мицрософт је објавио ажурирања за све Виндовс оперативне системе који су рањиви на ЦВЕ-2019-0708 (БлуеКееп). Закрпе су доступне за преузимање у Мицрософтовом каталогу ажурирања..
Упркос чињеници да је Мицрософт престао да подржава Виндовс КСП и Виндовс Сервер 2003, објављена су ажурирања за заштиту БлуеКееп за ове наслеђене системе. Што још једном наглашава озбиљност пронађене рањивости и висок ризик од њене масовне експлоатације.
Испод су директне везе за ручно преузимање ажурирања за популарне верзије оперативног система Виндовс:
КБ4500331:
Виндовс КСП Уграђени СП3 к86, к64 Виндовс КСП, Виндовс Сервер 2003 СП2 к86, к64 - хттпс://ввв.цаталог.упдате.мицрософт.цом/Сеарцх.аспк?к=КБ4500331
КБ4499175:
- Виндовс Сервер 2008 Р2 СП1 и Виндовс 7 СП1 к64 - виндовс6.1-кб4499175-к64_3704ацффф45ддф163д8049683д5а3б75е49б58цб.мсу
- Виндовс 7 к86 СП1 - виндовс6.1-кб4499175-к86_6ф1319ц32д5бц4цаф2058ае8фф40789аб10бф41б.мсу
У Виндовс КСП и 2003, кб4500331 исправке ће се морати инсталирати ручно.
За Виндовс 7 и Ажурирање за Виндовс Сервер 2008 Р2 КБ4499175 већ доступно за инсталирање путем ВСУС-а (зависно од подешавања одобрења ажурирања) и Мицрософт Упдате. Али можете да га инсталирате ручно из мсу датотеке користећи вуса.еке:
вуса.еке "Ц: \ Инсталл \ виндовс6.1-кб4499175-к64_3704ацффф45ддф163д8049683д5а3б75е49б58цб.мсу" / тихи / варнрестарт
