Ευπάθεια BlueKeep CVE-2019-0708
Σύμφωνα με ενημέρωση που λάβαμε από την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων - Εθνικό CERT, σας γνωρίζουμε ότι είναι σε εξέλιξη μεγάλη καμπάνια Κυβερνοεπιθέσεων του εξωτερικού.
Η καμπάνια αυτή επιδίδεται στην αναζήτηση και τελικώς στη στοχοποίηση συστημάτων, εκμεταλλευόμενη γνωστή αδυναμία των Windows, η οποία συνδέεται με το ανοιχτό πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (Windows RDP Protocol). Με εκμετάλλευση αυτής της αδυναμίας, οι επιτιθέμενοι δύνανται να αποσπάσουν κωδικούς πρόσβασης για τα συστήματα αυτά. Υπολογιστές οι οποίες φαίνονται να διατηρούν το RDP Protocol ανοιχτό, εμφανίζονται ως στόχοι της εν λόγω καμπάνιας και η λήψη των παρακάτω τεχνικών μέτρων που σας παραθέτουμε, κρίνεται απαραίτητη:
1. Βεβαιωθείτε ότι όλοι οι Windows servers και Windows clients που διαθέτετε, διαθέτουν τις τελευταίες ενημερώσεις της Microsoft (η αδυναμία που περιγράφουμε παραπάνω επιλύεται στα πλαίσια του October Patch Tuesday security update που εξέδωσε η Microsoft πρόσφατα).
2. Απαγορέψτε κάθε μη απαραίτητη πρόσβαση σε υπηρεσίες απομακρυσμένης πρόσβασης (remote desktop services) στους υπολογιστές σας, ιδιαίτερα από τον εξωτερικό κόσμο (Internet) με τη βοήθεια του Windows Firewall, συγκεκριμένα την πρόσβαση στα listening ports για το Remote Desktop (TCP port 3389).
3. Χρησιμοποιείτε δυνατούς κωδικούς πρόσβασης στους λογαριασμούς που έχουν δικαίωμα να κάνουν remote desktop στους υπολογιστές σας και εφαρμόστε κανόνες πολυπλοκότητας.
4. Χρησιμοποιείτε το Network Level Authentication (NLA) στους Windows servers και Windows clients σας το οποίο προσφέρει ένα επιπλέον επίπεδο authentication κατά την πραγματοποίηση μιας σύνδεσης με ένα τέτοιο μηχάνημα.
Από την Ομάδα AUTH-CERT