Sikkerhedsfolk bekræfter exploits til Wannacry-lignende sårbarhed i Windows’ Remote Desktop Service

Flere sikkerhedsforskere bekræfter exploit-kode til ny-patched orme-sårbarhed i visse Windows-versioners Remote Desktop Service.

Sikkerhedsforskere bekræfter, at der findes kode, der udnytter en alvorlig sårbarhed i Microsofts Remote Desktop Service.

Det oplyser Bleeping Computer.

Version2 har før fortalt om sårbarheden, som Microsoft udsendte en patch til tidligere på måneden. Sidenhen har flere sikkerhedsforskere fortalt om proof-of-concept-kode, der kan udnytte hullet.

Blandt andet fortæller sikkerhedsforsker Valthek om fungerende exploit-kode på Twitter.

Udvikler ved sikkerhedsfirmaet McAfee Christiaan Beek bekræfter ifølge Bleeping Computer Valtheks exploit.

»Vi opfordrer alle til at patche, den er rigtig led,« skriver Beek blandt andet i et tweet i den forbindelse.

Sårbarheden har, som det fremgår af ovenstående tweets, fået id'et CVE-2019-0708 og tilnavnet BlueKeep.

Sikkerhedsforsker Boris Larin fra Kaspersky Lab har også set nærmere på CVE-2019-0708, og han bekræfter, at sårbarheden kan udnyttes.

Ifølge Chaouki Bekrar fra Zeroday-virksomheden Zerodium, så kan CVE-2019-0708 give adgang med system-rettigheder uden autentifikation på sårbare udgaver af Windows.

Remote Desktop Service

Remote Desktop Service, som sårbarheden berører, bliver brugt til fjernadministration af computere, og tjenesten er ifølge Bleeping Computer ofte offentligt tilgængelig. Og dermed kan den altså også tilgås af en hacker med ondt i sinde.

CVE-2019-0708 kan gøre det muligt for en angriber af fjern-eksekvere kode på et sårbart system uden nogen brugerinteraktion. Det fremgår at et blogindlæg, Microsoft tidligere har skrevet om sårbarheden.

Ifølge blogindlægget fra Microsoft, så berører sårbarheden Windows 7, Windows Server 2008 R2 og Windows Server 2008. Derudover er de ikke-længere supporterede systemer Windows 2003 og Windows XP også berørte.

Microsoft oplyser, at virksomheden har taget det usædvanlige skridt også at frigive opdateringer til de ikke længere supporterede udgaver af Windows.

Windows 8 og 10 er ikke berørte.

Ifølge Bleeping Computer har der endnu ikke været nogen indikationer på, at sårbarheden er blevet udnyttet i det fri.

Jævnfør blogindlægget finder Microsoft det meget sandsynligt, at ondsindede aktører vil indarbejde kode i malware, så sårbarheden kan udnyttes.

Wannacry

Microsoft sammenligner i indlægget BlueKeep med Wannacry-angrebet.

Wannacry var et ransomware-angreb, der i 2017 blandt andet gik hårdt udover den britiske hospitalssektor. Angrebet spredte sig via en sårbarhed i SMB-protokollen.

Microsoft havde godt nok udgivet en formel patch, da Wannacry-ormen hærgede, men mange organisationer havde ikke installeret rettelsen, der lukkede SMB-sårbarheden.

Delvis sikring uden patch

Og der er sikkert også flere organisationer, der mangler at patche BlueKeep.

Sårbarheden kan delvist imødegås ved at aktivere Network Level Authentication (NLA), fremgår det af indlægget.

NLA bevirker, at en angriber først skal angive gyldige login-oplysninger, men så kan sårbarheden stadig udnyttes til fjern-eksekvering af kode.

Så derfor slutter Microsoft blogindlægget med en kraftig opfordring til at få opdateret alle berørte systemer så snart som muligt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonas Iversen

...udstil aldrig en RDP box direkte på nettet! Begræns adgangen til RDP boksen til bestemte IP adresser i firewallen. Så har du sorteres 99,5% af angrebsmullighederne fra, også selvom din RDP version er usikker.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize