[JustisCERT-varsel] Kritisk sårbarhet i Microsoft RDP
14. mai 2019 offentliggjorde Microsoft informasjon om en kritisk sårbarhet i Remote Desktop Protocol (RDP).
Ved å sende en spesiallaget forespørsel til et system med sårbar RDP tilgjengelig kan en angriper kjøre kode på systemet. Angriper kan da få full tilgang til systemet uten å måtte autentisere seg. Dette er en kritisk sårbarhet som kan utnyttes for å lage en ny bølge av malware/ormer lignende det vi så med WannaCry. Det er ikke observert utnyttelse av sårbarheten enda, men nå som den er offentlig kjent er det forventet at ondsinnede aktører om kort tid vil utnytte den.
Microsoft har publisert oppdateringer som retter sårbarheten i Windows XP og nyere samt Windows Server 2003 og nyere.
Berørte systemer:
- Windows 7 og eldre
- Windows Server 2008 R2 og eldre
Alvorlighetsgrad (Lav/Medium/Høy/Kritisk):
Kritisk
Liste over sårbarheter:
CVE-2019-0708
Anbefaling:
- Oppdater berørte systemer snarest.
- Prioriter systemer som er eksponert mot internett først.
- Deaktiver RDP-tjenesten på alle systemer der den ikke er nødvendig.
- Ikke tillat RDP mot Microsoft operativsystem direkte fra internett (steng port 3389 fra internett i sentrale brannmurer).
- Aktiver nettverksnivåautentisering (Network Level Authentication, NLA).
- Blokker RDP (port 3389) i sentrale brannmurer mellom interne nett der tjenesten ikke er nødvendig.
Andre tiltak:
- Oppdater operativsystem og programvare ofte og automatisk.
- Utvis varsomhet ved åpning av lenker og filer motatt på e-post.
- Utvis varsomhet ved åpning av filer du laster ned fra internett eller starter fra eksterne/interne lagringsenheter (som minnepinner og harddisker).
- Benytt antivirusprogramvare.
Kilder:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://support.microsoft.com/nb-no/help/4500705/customer-guidance-for-cve-2019-0708