Уразливість BlueKeep у службах віддаленого робочого столу може стати новим вектором для розповсюдження шкідливих програм, попереджають фахівці з кібербезпеки компанії ESET. У разі використання уразливості кіберзлочинці зможуть отримати доступ до комп’ютера жертви без необхідних облікових даних або взаємодії з користувачем.
Ситуація з BlueKeep нагадує події двох років тому. Зокрема 14 березня 2017 року компанія Microsoft випустила виправлення для уразливості в протоколі Server Message Block (SMB). Причиною цього стала поява експлойту EternalBlue – шкідливий інструмент, який нібито був розроблений і викрадений з Агентства національної безпеки (NSA). Через місяць EternalBlue потрапив в Інтернет, а через кілька тижнів був використаний у двох найбільш руйнівних кібератаках — WannaCry (ptor) і NotPetya (Diskcoder.C).
Подібний сценарій може трапитися і з BlueKeep. Цілком ймовірно, що незабаром на “чорних” ринках з’явиться експлойт, який використовує цю уразливість. Якщо це станеться, шкідлива програма може стати дуже популярною серед кіберзлочинців, а також прибутковим джерелом доходу для його автора.
У зв’язку з потенційною небезпекою спеціалісти ESET радять для захисту від атак з використанням цієї уразливості наступні кроки:
- Застосувати оновлення для операційної системи. Програмне забезпечення Windows має бути оновлено до найактуальнішої версії. У разі використання Windows XP або Windows 2003 виправлення потрібно завантажити та застосувати якомога швидше.
- Вимкнути протокол віддаленого робочого столу (RDP). Незважаючи на те, що RDP не є уразливим, Microsoft рекомендує організаціям вимкнути його, поки не будуть застосовані актуальні оновлення. Крім цього, для мінімізації ймовірності атаки віддалений робочий стіл має бути ввімкнений лише на тих пристроях, де протокол дійсно потрібен.
- Правильно налаштувати протокол віддаленого робочого столу. Якщо організації потрібно використовувати RDP, уникайте доступу до публічної мережі Інтернет. Тільки пристроям в локальній мережі або завдяки доступу через VPN можна встановлювати віддалений сеанс. Іншим варіантом є фільтрування доступу до віддаленого робочого столу за допомогою брандмауера, що надає дозвіл лише певному діапазону IP. Якщо це неможливо, варто використовувати багатофакторну аутентифікацію.
- Застосувати аутентифікацію на рівні мережі (NLA). Таким чином перед встановленням віддаленого сеансу користувач має здійснити аутентифікацію. Однак, як додає компанія Microsoft, системи все ще можуть бути уразливими, якщо кіберзлочинець має актуальні дані для входу в обліковий запис, які можна використати для успішної аутентифікації.
- Використовуйте багаторівневе рішення для виявлення та перешкоджання атакам, що використовують уразливість на рівні мережі.
Варто зазначити, що виправлення від компанії Microsoft для операційних систем доступне з 14 травня.
До речі, в офіційному магазині Google Play поширюють низку фальшивих криптовалютних гаманців. Один з таких підробних додатків маскується під відомий апаратний гаманець криптовалюти та пов’язаний з іншою шкідливою програмою, яка здатна викрадати гроші у довірливих користувачів.
Нагадаємо, кіберполіція викрила незаконну ретрансляцію телеканалів, яку була замаскована під легальний сигнал компанії. Понад 5 тисяч користувачів навіть не підозрювали, що щомісячно сплачують за піратський контент.
Також понад сто тисяч маршрутизаторів TP-Link уразливі через помилку, яку можна використовувати для віддаленого управління пристроєм. Уразливість дозволяє будь-якому недосвідченому зловмисникові віддалено отримати повний доступ до маршрутизатора.