ผู้เชี่ยวชาญด้านความปลอดภัยจาก Positive Technologie กล่าวว่าจำนวนโหนดเครือข่ายในสหพันธรัฐรัสเซียสามารถเข้าถึงได้ผ่าน RDP (RDP) เพิ่มขึ้น 9% และอาจสูงถึงกว่า 112,000 คน เหตุจากผู้ใช้งานทำงานจากที่บ้านมากขึ้นเนื่องจากระบาดของโรค Coronavirus หรือ COVID-19

นับตั้งเเต่ปี 2019 ถึงปัจจุบันมีช่องโหว่ที่เกี่ยวข้องกับ RDP มีจำนวนมาก ช่องโหว่ที่สำคัญ ได้เเก่ CVE-2019-0708 (BlueKeep) ผู้เชี่ยวชาญด้านความปลอดภัยยังกล่าวอีกว่าถ้าหากแฮกเกอร์ส่งคำสั่งรันโปรแกรมจากระยะไกลหรือคำร้องขอ RDP พิเศษไปยัง Remote Desktop Services (RDS) ที่มีช่องโหว่การโจมตี ผู้โจมตีสามารถ Bypass การตรวจสอบสิทธิ์ หากการโจมตีประสบความสำเร็จผู้โจมตีสามารถติดตั้งและลบโปรแกรมบนระบบที่ถูกบุกรุก และสร้างบัญชีที่มีระดับการเข้าถึงสูงสุดเพื่ออ่านและแก้ไขข้อมูลที่เป็นความลับ

คำเเนะนำจากผู้เชี่ยวชาญด้านความปลอดภัยกล่าวเตือนว่าควรอัพเดทแพตช์จาก Microsoft หรือแหล่งข้อมูลที่เชื่อถือได้อยู่เสมอเพื่อความปลอดภัยจากการโจมตีระบบและข้อมูล การเชื่อมต่อระยะไกลที่ปลอดภัยผู้ใช้จำเป็นต้องใช้ VPN Gateway เสมอเพื่อเชื่อมเข้าองค์กรและไม่แนะนำให้เชื่อมต่อโดยตรงกับที่ทำงาน

ที่มา: ehackingnews.

 

รวมข่าว BlueKeep ระหว่างวันที่ 1 - 11 พฤศจิกายน 2019

BlueKeep คืออะไร

BlueKeep หรือช่องโหว่ CVE-2019-0708 เป็นช่องโหว่ที่สามารถรันคำสั่งอันตรายจากระยะไกลได้ พบใน Remote Desktop Services กระทบ Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 และ Windows XP

ช่องโหว่นี้ได้รับแพตช์ความปลอดภัยแล้วเมื่อเดือนพฤษภาคม 2019 ที่ผ่านมา โดยช่องโหว่นี้มีคำเตือนให้ผู้ใช้งานเร่งอัปเดตเพราะว่าช่องโหว่นี้สามารถเอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry ที่ใช้ช่องโหว่ CVE-2017-0144 EternalBlue (Remote Code Execution ใน SMB)

พบการโจมตีด้วยช่องโหว่ BlueKeep แล้ว

2 พฤศจิกายน 2019 Kevin Beaumont นักวิจัยผู้ตั้งชื่อเล่นให้ CVE-2019-0708 ว่า BlueKeep เปิดเผยการค้นพบการโจมตีด้วยช่องโหว่ BlueKeep บน honeypot ที่เขาเปิดล่อเอาไว้ทั่วโลกตั้งแต่เดือนพฤษภาคม 2019 ซึ่งการโจมตีครั้งนี้ทำให้เหล่า honeypot เกิดจอฟ้า

จากการวิเคราะห์ crash dump ที่ได้จากเหล่า honeypot พบว่าการโจมตีดังกล่าวยังไม่ได้แพร่โดยเวิร์ม แต่เกิดจากการใช้ Metasploit พยายามรันคำสั่งอันตรายเพื่อติดตั้งมัลแวร์ขุดเหมือง เนื่องจากโมดูลสำหรับโจมตีด้วย BlueKeep ใน Metasploit ยังไม่ค่อยเสถียร เลยทำให้เกิดจอฟ้า

อ่านต่ออย่างละเอียด thehackernews

ไม่ใช่เวิร์มแต่ก็อันตรายนะ ไมโครซอฟต์ออกมาเตือนอีกรอบ

8 พฤศจิกายน 2019 ไมโครซอฟต์ออกรายงานวิเคราะห์การโจมตี BlueKeep ร่วมกับ Kevin Beaumont และ Marcus Hutchins ด้วยมัลแวร์ขุดเหมืองดังกล่าว พร้อมกับเตือนให้ผู้ใช้งานเร่งแพตช์ เพราะต้องมีการโจมตีที่รุนแรงกว่านี้ตามมาแน่นอน

อ่านต่ออย่างละเอียด https://www.

นักวิจัยพบการโจมตีเพื่อติดตั้ง Cryptocurrency mining โดยอาศัยช่องโหว่ BlueKeep

BlueKeep (CVE-2019-0708) คือช่องโหว่ wormable เพื่อมันสามารถแพร่กระจายโดยตัวมันเองจากเครื่องหนึ่งสู่อีกเครื่องโดยที่เหยื่อไม่ต้องมีการโต้ตอบใดๆ การพบในครั้งนี้เกิดจากการที่ EternalPot RDP honeypot ของ Kevin Beaumont เกิดหยุดทำงานและทำการรีบูตตัวเอง จากการตรวจสอบจึงทำให้พบการโจมตีเพื่อแพร่กระจาย Cryptocurrency mining ดังกล่าว การค้นพบในครั้งนี้นับว่าเป็นการประยุกต์ใช้ช่องโหว่ BlueKeep เพื่อใช้ในการโจมตีอย่างจริงจังเป็นครั้งแรก

อย่างไรก็ตาม Microsoft ได้ปล่อยแพทช์สำหรับช่องโหว่ออกมาก่อนหน้านี้แล้ว หากยังสามารถทำการอัพเดตแพทช์ได้ สามารถทำตามข้อแนะนำดังต่อไปนี้:

ปิดการใช้งาน RDP services ถ้าไม่จำเป็น
บล็อก port 3389 ที่ใช้ firewall หรือสร้างการเชื่อมต่อให้ผ่านเฉพาะ private VPN
เปิดการใช้งาน Network Level Authentication (NLA) เป็นการป้องกันบางส่วนสำหรับการโจมตีที่ไม่ได้รับอนุญาต

ที่มา : thehackernews

 

เมื่อวันที่ 6 กันยายน 2019 Metasploit ได้ปล่อย exploit สำหรับช่องโหว่ CVE-2019-0708 BlueKeep ที่สามารถโจมตีแบบรันคำสั่งอันตรายบนระบบที่มีช่องโหว่จากระยะไกล (RCE) ออกมาแล้ว

ช่องโหว่ CVE-2019-0708 หรือ BlueKeep เป็นช่องโหว่ Remote Code Execution ใน Remote Desktop Protocol ใน Windows XP, Windows 2003, Windows 7, Windows Server 2008 และ Windows Server 2008 R2 ที่มีการเปิดใช้งาน RDP

โดย Microsoft ได้ออกแพตช์มาให้อัปเดตกันตั้งแต่เดือนพฤษภาคม 2019 ที่ผ่านมา และระบุคำเตือนให้ผู้ใช้งานเร่งอัปเดตเพราะว่าช่องโหว่นี้สามารถเอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry ที่ใช้ช่องโหว่ CVE-2017-0144 EternalBlue (Remote Code Execution ใน SMB)

แต่จากตรวจสอบผ่านเว็บไซต์ binaryedge.