Nový červ zneužívá RDP, Microsoft kvůli němu záplatuje i stará Windows XP

17. 5. 2019

Sdílet

 Autor: © inq - Fotolia.com
Nová hrozba nese podobné znaky jako nechvalně proslulý malware WannaCry. Microsoft kvůli ní vydal patche dokonce i na už nepodporované systémy.

Microsoft opravil kritickou chybu, která mohla v některých verzích Windows vytvářet příležitost pro červa natolik nebezpečného, že firma vydala záplaty dokonce i pro už nepodporované systémy Windows XP a Windows Server 2003.

Hrozba identifikovaná jako CVE-2019-0708 se nachází v tzv. Remote Desktop Services (nebo též Terminal Services), zajišťujících spojení skrz Remote Desktop Protocol, který umožňuje vzdálené ovládání systému v korporátních sítích.

Rizikovost chyby je dána právě skrze možnost vzdáleného zneužití bez nutnosti autentizace nebo interakce uživatele, prostým zasláním škodlivého RDP požadavku. Úspěšný útok přitom útočníkovi může zajistit plná uživatelská práva a tedy možnost instalovat programy, upravovat nebo zcela mazat data nebo dokonce vytvářet nové uživatelské účty.

A samozřejmě, červ se může šířit z počítače na počítač, podobně jako malware WannaCry, rozšířený před dvěma lety, jenž taky nepotřeboval jakoukoliv autentizaci.

Analogie s WannaCry se nabízí též s ohledem na oblibu protokolů, kterých obě hrozby zneužívají, a míru potenciálně zneužitelných zařízení. V ohrožení skrz CVE-2019-0708 totiž jsou nejen Windows 7, Windows Server 2008 R2 nebo Windows 2008, ale také starší systémy, které už nejsou Microsoftem podporovány, ačkoliv dosud jsou ve firmách hojně rozšířeny.

Zneužití chyby sice zatím zjištěno nebylo, ale ani navzdory vydaným patchům není vyloučeno. Ostatně také WannaCry se dokázal rozšířit i po záplatování a ochromit nejednu síť, od velkých institucí až po malé firmy. Důvod je prostý: pozdní aplikace záplat.

ICTS24

Microsoft proto radí: „Pokud nepoužíváte RDS, zvažte jejich vyřazení z provozu, to je nejlepší ochrana. Vyřazení nepoužívaných a nepotřebných služeb snižuje vystavení se riziku.“

Dále pak nabízí dva alternativní způsoby ochrany: na podporovaných systémem povolení tzv. Network Level Authentication anebo naopak zablokování TCP portu 3389 v rámci firewallu.