VARSEL (TLP:CLEAR)

[JustisCERT-varsel] Viktig påminnelse - BlueKeep blir nå aktivt utnyttet i automatiserte angrep

05-11-2019

JustisCERT ønsker å sende en påminnelse om tidligere varsel relatert til CVE-2019-0708, også kjent som BlueKeep. Dette er en kritisk sårbarhet i Remote Desktop Protocol (RDP) som nå aktivt blir utnyttet av angripere.

Ved å sende en spesiallaget forespørsel til et system med sårbar RDP tilgjengelig kan en angriper kjøre kode på systemet. Angriper kan da få full tilgang til systemet uten å måtte autentisere seg. Dette er en kritisk sårbarhet som kan utnyttes for å lage en ny bølge av malware/ormer lignende det vi så med WannaCry.

Alvorlighetsgrad (Lav/Medium/Høy/Kritisk):

Kritisk

Liste over sårbarheter:

CVE-2019-0708 - https://nvd.nist.gov/vuln/detail/CVE-2019-0708

Anbefaling:

Oppdater/patch berørte systemer snarest.
Prioriter systemer som er eksponert mot internett først.
Ikke tillat RDP mot Microsoft operativsystem direkte fra internett.

Kilder:

https://blog.qualys.com/laws-of-vulnerabilities/2019/11/04/bluekeep-attacks-observed-months-after-initial-release
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
https://support.microsoft.com/nb-no/help/4500705/customer-guidance-for-cve-2019-0708