Уязвимость cve-2019-0708 от Microsoft. Что делать и как выявить.

Компания Microsoft в своих последних информационных бюллетенях безопасности уведомила обнаруженной серьезной уязвимости (CVE-2019-0708) подключения к удаленным рабочим столам по протоколу RDP.

Эта уязвимость присутствует в старых операционных системах Windows XP, Windows 7, и в серверных операционных системах: Windows server 2008, Windows server 2003.

Риски:

Уязвимость потенциально дает возможность получить доступ к управлению компьютерами, серверами и выполнить на атакуемом компьютере любой код (программу). (логин, пароль не нужны для проникновения через уязвимость).

Зараженные компьютеры могут продолжить распространение вредоносных программ на соседние компьютеры сети.

Последствия:

Шифрование данных, копирование и кража конфиденциальных данных, несанкционированное использование ресурсов вашего компьютера третьими лицами. Для бизнеса это может привести к потерям данных, ответственности перед клиентами и партнерами, простоям и другим негативным результатам.

Основные каналы и причины проникновения в компьютер:

• Существует угроза при подключении клиентов к серверам через RDP-протокол, опубликованный в интернете напрямую, с минимальными настройками безопасности.
• При жалобах клиентов о невозможности подключиться со старых компьютеров к серверам по RDP может быть отключена проверка защиты на уровне сети без применения всех обновлений и установки последней версии клиента RDP на компьютеры с устаревшей ОС.
• по словам Microsoft для использования уязвимости достаточно иметь сетевой доступ к компьютеру с уязвимой версией операционной системы.

Предлагаемые рекомендации по защите:

• Закрыть прямой доступ к серверам по RDP, т. е. запретить публикацию терминальных служб напрямую в интернет.
• Использовать для подключения офисов и мобильных/удаленных сотрудников шифрованные каналы (VPN).
• Незамедлительно установить следующие обновления.
• Для Windows 7 и серверов Windows 2008: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
• Для Windows XP и серверов Windows 2003: https://support.microsoft.com/ru-ru/help/4500705/customer-guidance-for-cve-2019-0708
• которые существенно снижают риски использования обнаруженной уязвимости.
• Рассмотреть возможность перевода серверной части, а в последствии и периферийных клиентских компьютеров на более современные версии OS от Microsoft.

Возможные дополнительные компенсирующие меры:

• Включение проверки подлинности на уровне сети (NLA).
• Проверка наличия резервного копирования и актуальности резервных копий.

Предложения:

Специалисты Ucloud готовы выполнить следующие виды работ, которые касаются обеспечения безопасности ваших облачных серверов.

• Сделать аудит существующих ВМ;
• Настроить резервное копирование на уровне ВМ;
• Выполнить настройки безопасности на уровне сети на стороне серверов;
• Применить обновления и патчи от Microsoft до текущей точки актуальности;
• Предложить дополнительные меры защиты, например услугу «Pfsens сервис», которая позволяет выполнить защиту клиентских виртуальных машин.