Следите за новостями

Цифра дня

928 млрд тг. может составить рынок e-commerce к 2022 г.

В Казнете выявлено 1219 IP-адресов с уязвимым протоколом RDP

Злоумышленники, успешно воспользовавшиеся этой уязвимостью, могут выполнить произвольный код в целевой системе.

29 мая 2019 10:54, Profit.kz
Рубрики: Безопасность

Служба реагирования на компьютерные инциденты KZ-CERT сообщила о зафиксированной уязвимости протокола RDP (Remote Desktop Protocol), присутствующей на рабочих станциях и серверах с ОС Microsoft Windows. Проведенное исследование проблемы позволило выявить 1219 IP-адресов с уязвимым протоколом RDP в казахстанском сегменте сети интернет.

Специалисты KZ-CERT так описывают уязвимость: CVE-2019-0708 — Службы удаленных рабочих столов, уязвимость удаленного выполнения кода, порт 3389.

Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов, которые ранее назывались службами терминалов. Злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Эта уязвимость является предварительной аутентификацией и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в целевой системе. В итоге, он получает возможность устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными правами пользователя.

В качестве рекомендаций по устранению специалисты настаивают на срочной установке обновления для этой уязвимости и принятия следующих мер защиты:

1. Включить проверку подлинности на уровне сети (NLA) в системах, работающих под управлением поддерживаемых выпусков Windows 7, Windows Server 2008 и Windows Server 2008 R2. Включенная проверка подлинности на уровне сети позволит блокировать использование этой уязвимости злоумышленниками, не прошедшими проверку подлинности. При включенном NLA, прежде чем воспользоваться уязвимостью, злоумышленнику сначала необходимо пройти проверку подлинности в службах удаленных рабочих столов с использованием действующей учетной записи в целевой системе,

2. Заблокировать TCP-порт 3389 на брандмауэре периметра предприятия. TCP-порт 3389 используется для установления соединения с уязвимым компонентом. Блокировка этого порта на брандмауэре периметра сети поможет защитить системы, которые находятся за этим брандмауэром, от попыток использовать эту уязвимость.