Microsoftin Windows-käyttöjärjestelmän Remote Desktop Service -toteutuksesta (RDS, etätyöpöytä-sovellus) on löytynyt useita kriittisiä haavoittuvuuksia. Haavoittuvuudet mahdollistavat matomaisesti leviävien haittaohjelmien toteuttamisen. Kyberturvallisuuskeskus on saanut havaintoja haavoittuvuuksien hyödyntämisestä sekä Suomesta että ulkomailta. Haavoittuvuuksiin on olemassa ohjelmistopäivitykset, joiden asentaminen on ensiarvoisen tärkeää.
Microsoft on julkaissut tietoturvapäivityksiä RDS-toteutukseen. Ensimmäinen ohjelmistopäivitys julkaistiin jo toukokuun käyttöjärjestelmäpäivitysten yhteydessä. Tuolloin RDS-toteutuksessa korjattua haavoittuvuutta kutsuttiin nimellä BlueKeep. Microsoftin elokuun tietoturvapäivitysten yhteydessä korjattiin kaksi uutta kriittistä haavoittuvuutta RDS-toteutuksesta.
Suomessa oli tämän varoituksen julkaisuhetkellä 14.8.2019 noin 4500 haavoittuvaa järjestelmää avoinna Internettiin. Haavoittuvuuden hyväksikäyttöä ennakoiva skannaus lisääntyi tuolloin merkittävästi.
Helppokäyttöinen Metasploit-moduli BlueKeepille haavoittuvien järjestelmien testaamiseksi julkaistiin 6.9.2019. Tämän myötä hyväksikäyttöyritykset tulevat hyvin todennäköisesti lisääntymään.
Varoituksen kohderyhmä
- Windows-palvelinten ylläpitäjät
- RDS-toteutusta käyttävät organisaatiot
Ratkaisu- ja rajoitusmahdollisuudet
- Asenna korjaavat ohjelmistopäivitykset
- Poista RDP-palvelu käytöstä
- Kytke Network Level Authentication (NLA) päälle
- Rajoita yhteydet vain tietyistä lähdeosoitteista
Lisätietoa
Kohde
- Palvelimet ja palvelinsovellukset
- Työasemat ja loppukäyttäjän sovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen suorittaminen
- Suojauksen ohittaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Haavoittuvat ohjelmistot
- Windows 7 SP1
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows 8.1
- Windows Server 2012 R2
- Windows 10
Linkit
- Haavoittuvuus 9/2019 Kriittinen BlueKeep-haavoittuvuus Microsoftin Remote Desktop Service (RDS) -toteutuksessa tietyissä Windowsin versioissa
- Tietoturva nyt! 9.10.2019: Etätyöpöytäpalvelun haavoittuvuuksia koskenut varoitus poistettiin
- https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/ (Ulkoinen linkki)
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181 (Ulkoinen linkki)
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182 (Ulkoinen linkki)
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222 (Ulkoinen linkki)
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226 (Ulkoinen linkki)
- https://www.cyber.gov.au/news/update-acsc-confirms-potential-exploitation-bluekeep-vulnerability (Ulkoinen linkki)
CVE
- CVE-2019-0708
- CVE-2019-1181
- CVE-2019-1182
- CVE-2019-1222
- CVE-2019-1226
Päivityshistoria
Lisättiin tieto Metasploit-modulista.
Varoituksen voimassaolo lopetettiin 8.10.2019.