First Cyber Attack ‘Mass Exploiting’ BlueKeep RDP Flaw Spotted in the Wild

นักวิจัยพบการโจมตีเพื่อติดตั้ง Cryptocurrency mining โดยอาศัยช่องโหว่ BlueKeep

BlueKeep (CVE-2019-0708) คือช่องโหว่ wormable เพื่อมันสามารถแพร่กระจายโดยตัวมันเองจากเครื่องหนึ่งสู่อีกเครื่องโดยที่เหยื่อไม่ต้องมีการโต้ตอบใดๆ การพบในครั้งนี้เกิดจากการที่ EternalPot RDP honeypot ของ Kevin Beaumont เกิดหยุดทำงานและทำการรีบูตตัวเอง จากการตรวจสอบจึงทำให้พบการโจมตีเพื่อแพร่กระจาย Cryptocurrency mining ดังกล่าว การค้นพบในครั้งนี้นับว่าเป็นการประยุกต์ใช้ช่องโหว่ BlueKeep เพื่อใช้ในการโจมตีอย่างจริงจังเป็นครั้งแรก

อย่างไรก็ตาม Microsoft ได้ปล่อยแพทช์สำหรับช่องโหว่ออกมาก่อนหน้านี้แล้ว หากยังสามารถทำการอัพเดตแพทช์ได้ สามารถทำตามข้อแนะนำดังต่อไปนี้:

ปิดการใช้งาน RDP services ถ้าไม่จำเป็น
บล็อก port 3389 ที่ใช้ firewall หรือสร้างการเชื่อมต่อให้ผ่านเฉพาะ private VPN
เปิดการใช้งาน Network Level Authentication (NLA) เป็นการป้องกันบางส่วนสำหรับการโจมตีที่ไม่ได้รับอนุญาต

ที่มา : thehackernews

Microsoft Fixes Critical Windows 10 Wormable Remote Desktop Flaws

แจ้งเตือน 2 ช่องโหว่ใหม่ใน Remote Desktop Services (RDS) รันโค้ดที่เป็นอันตรายได้จากระยะไกล (RCE) คล้าย BlueKeep เอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry

ไมโครซอฟต์ออกแพตช์ตามรอบ Patch Tuesday ประจำเดือนสิงหาคม 2019 โดยสองช่องโหว่ที่ถูกแพตช์นั้นเป็นช่องโหว่ระดับวิกฤติในแพ็คเกจ Remote Desktop Services (RDS) รหัส CVE-2019-1181 (CVSSv3 8.8) และ CVE-2019-1182 (CVSSv3 8.8) ซึ่งทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายกับระบบที่มีช่องโหว่ได้จากระยะไกล

ลักษณะพิเศษของช่องโหว่คือ Wormable หรือเป็นช่องโหว่ที่สามารถใช้เพื่อแพร่กระจายเวิร์มเช่นเดียวกับกรณีของ WannaCry ได้

ระบบปฏิบัติการที่ได้รับผลกระทบ
- Windows 10 ทั้ง 32 และ 64 บิต 1607, 1703, 1709, 1803, 1809 และ 1903
- WIndows 8.1 ทั้ง 32 และ 64 บิต
- Windows RT 8.1
- Windows 7 ทั้ง 32 และ 64 บิต SP1
- Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019, 1803 และ 1903

ยังไม่พบ IPS signature ที่ช่วยป้องกันการโจมตีได้ในขณะนี้ ทางป้องกันที่ดีที่สุดในตอนนี้คือแพตช์

ที่มา: https://msrc-blog.