Обнаружена опасная уязвимость BlueKeep в службах удаленного рабочего стола (RDP), которая вскоре может стать новым вектором для распространения киберугроз. В случае использования уязвимости киберпреступники смогут получить доступ к компьютеру жертвы без необходимых учетных данных или взаимодействия с пользователем.

Стоит отметить, исправление от компании Microsoft для операционных систем доступно с 14 мая.

Ситуация с BlueKeep напоминает события двух лет назад. В частности, 14 марта 2017 г. компания Microsoft выпустила исправление для уязвимости в протоколе Server Message Block (SMB). Причиной этого стало появление эксплойта EternalBlue – вредоносный инструмент, который якобы был разработан и похищен из «Агентства национальной безопасности» (NSA). Через месяц EternalBlue попал в Интернет, а через несколько недель был использован в двух самых разрушительных кибератаках – WannaCry (ptor) и NotPetya (Diskcoder.C).

Подобный сценарий может случиться и с BlueKeep. Вполне вероятно, что вскоре на «черных» рынках появится эксплойт, который использует эту уязвимость. Если это произойдет, вредоносная программа может стать очень популярной среди киберпреступников, а также прибыльным источником дохода для его автора.

В связи с потенциальной опасностью специалисты подготовили рекомендации для защиты от атак с использованием этой уязвимости:

  • Применить обновления операционной системы. Программное обеспечение Windows должно быть обновлено до актуальной версии. При использовании Windows XP или Windows 2003 исправления нужно загрузить и применить как можно быстрее.
  • Отключить протокол удаленного рабочего стола. Несмотря на то, что RDP не является уязвимым, Microsoft рекомендует организациям выключить его, пока не будут применены актуальные обновления. Кроме этого, для минимизации вероятности атаки удаленный рабочий стол должен быть включен только на тех устройствах, где протокол действительно нужен.
  • Правильно настроить протокол удаленного рабочего стола (RDP). Если организации нужно использовать RDP, избегайте доступа к публичной сети Интернет. Только устройствам в локальной сети или благодаря доступу через VPN можно устанавливать удаленный сеанс. Другим вариантом является фильтрование доступа к удаленному рабочему столу с помощью брандмауэра, который дает разрешение определенному диапазону IP. Если это невозможно, следует использовать многофакторную аутентификацию.
  • Применить аутентификацию на уровне сети (NLA). Таким образом, перед установкой удаленного сеанса пользователь должен осуществить аутентификацию. Однако, как добавляет компания Microsoft, системы все еще могут быть уязвимыми, если киберпреступник имеет актуальные данные для входа в учетную запись, которые можно использовать для успешной аутентификации.
  • Используйте многоуровневое решение для обнаружения и предотвращения атак, которые используют уязвимости на уровне сети.

Материал «Компьютерное обозрение»