Microsoftin etätyöpöytä-sovelluksen haavoittuvuuksia hyödynnetään tietomurroissa

Varoitus2/2019

Microsoftin Windows-käyttöjärjestelmän Remote Desktop Service -toteutuksesta (RDS, etätyöpöytä-sovellus) on löytynyt useita kriittisiä haavoittuvuuksia. Haavoittuvuudet mahdollistavat matomaisesti leviävien haittaohjelmien toteuttamisen. Kyberturvallisuuskeskus on saanut havaintoja haavoittuvuuksien hyödyntämisestä sekä Suomesta että ulkomailta. Haavoittuvuuksiin on olemassa ohjelmistopäivitykset, joiden asentaminen on ensiarvoisen tärkeää.

Microsoft on julkaissut tietoturvapäivityksiä RDS-toteutukseen. Ensimmäinen ohjelmistopäivitys julkaistiin jo toukokuun käyttöjärjestelmäpäivitysten yhteydessä. Tuolloin RDS-toteutuksessa korjattua haavoittuvuutta kutsuttiin nimellä BlueKeep. Microsoftin elokuun tietoturvapäivitysten yhteydessä korjattiin kaksi uutta kriittistä haavoittuvuutta RDS-toteutuksesta. 

Suomessa oli tämän varoituksen julkaisuhetkellä 14.8.2019 noin 4500 haavoittuvaa järjestelmää avoinna Internettiin. Haavoittuvuuden hyväksikäyttöä ennakoiva skannaus lisääntyi tuolloin merkittävästi.

Helppokäyttöinen Metasploit-moduli BlueKeepille haavoittuvien järjestelmien testaamiseksi julkaistiin 6.9.2019. Tämän myötä hyväksikäyttöyritykset tulevat hyvin todennäköisesti lisääntymään.

    Varoituksen kohderyhmä

    • Windows-palvelinten ylläpitäjät
    • RDS-toteutusta käyttävät organisaatiot

    Ratkaisu- ja rajoitusmahdollisuudet

    • Asenna korjaavat ohjelmistopäivitykset
    • Poista RDP-palvelu käytöstä
    • Kytke Network Level Authentication (NLA) päälle
    • Rajoita yhteydet vain tietyistä lähdeosoitteista

    Lisätietoa

    Kohde

    • Palvelimet ja palvelinsovellukset
    • Työasemat ja loppukäyttäjän sovellukset

    Hyökkäystapa

    • Etäkäyttö
    • Ilman käyttäjän toimia
    • Ilman kirjautumista

    Vaikutukset

    • Komentojen suorittaminen
    • Suojauksen ohittaminen
    • Tietojen muokkaaminen
    • Luottamuksellisen tiedon hankkiminen

    Haavoittuvat ohjelmistot

    • Windows 7 SP1
    • Windows Server 2008 R2 SP1
    • Windows Server 2012
    • Windows 8.1
    • Windows Server 2012 R2
    • Windows 10

    Linkit

    CVE

    • CVE-2019-0708
    • CVE-2019-1181
    • CVE-2019-1182
    • CVE-2019-1222
    • CVE-2019-1226 

    Päivityshistoria

    Lisättiin tieto Metasploit-modulista.

    Varoituksen voimassaolo lopetettiin 8.10.2019.