Службой KZ-CERT выявлено 1219 IP-адресов с уязвимым протоколом RDP в казахстанском сегменте сети Интернет

Служба реагирования на компьютерные инциденты KZ-CERT сообщает о зафиксированной уязвимости ПРОТОКОЛА RDP (Remote Desktop Protocol), присутствующей на рабочих станциях и серверах с ОС Microsoft Windows!!!

Проведенное исследование данной проблемы позволило выявить 1219 IP-адресов с уязвимым протоколом RDP в казахстанском сегменте сети Интернет.

Описание уязвимости:

  • CVE-2019-0708 - Службы удаленных рабочих столов. Уязвимость удаленного выполнения кода.
  • Порт:3389

Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов, которые ранее назывались службами терминалов. Злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Эта уязвимость является предварительной аутентификацией и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в целевой системе. В итоге, получает возможность устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными правами пользователя.

Рекомендации по устранению.

Во всех случаях рекомендуется в срочном порядке установить обновления для этой уязвимости и принять следующие меры защиты:

1. Включить проверку подлинности на уровне сети (NLA) в системах, работающих под управлением поддерживаемых выпусков Windows 7, Windows Server 2008 и Windows Server 2008 R2

Включенная проверка подлинности на уровне сети позволит блокировать использование этой уязвимости злоумышленниками, не прошедшими проверку подлинности. При включенном NLA, прежде чем воспользоваться уязвимостью, злоумышленнику сначала необходимо пройти проверку подлинности в службах удаленных рабочих столов с использованием действующей учетной записи в целевой системе,

2. Заблокировать TCP-порт 3389 на брандмауэре периметра предприятия.

TCP-порт 3389 используется для установления соединения с уязвимым компонентом. Блокировка этого порта на брандмауэре периметра сети поможет защитить системы, которые находятся за этим брандмауэром, от попыток использовать эту уязвимость.

С уважением,

KZ-CERT

Тел.: 1400

Тел.: +7(7172) 55-99-99

e-mail: info@kz-cert.kz

incident@kz-cert.kz