Két nappal ezelőtt a Windows újabb sérülékeny pontjára derült fény, amely a Windows XP, Windows 7 és más régebbi Windows rendszerek felhasználóit érinti. A Windows 8 és 10 felhasználóit nem érinti. Ez a távoli kódfuttatás a távoli desktop szolgáltatások része, és távolról bármilyen hitelesítés nélkül kihasználható tetszőleges kód lefuttatásához.

A Microsoft így magyarázza: A Remote Desktop szolgáltatások (korábban Terminal Services) esetében van egy távoli kódfuttatási biztonsági rés/sebezhetőség. Ezt kihasználva azonosítatlan támadó tud csatlakozni RDP használatával a célrendszerhez és speciálisan megfogalmazott kéréseket tud küldeni. Ez a biztonsági rés/sebezhetőség az előzetes hitelesítés (pre-authentication), amely nem igényel felhasználói beavatkozást. A támadó, aki sikeresen kihasználja ezt a biztonsági rést/sebezhetőséget, tetszőleges kódot futtathat le a célrendszeren, programokat telepíthet, megnézheti, megváltoztathatja vagy kitörölheti az adatokat, illetve új fiókokat hozhat létre teljes felhasználói jogokkal.

A Microsoft szerint ez a biztonsági rés “wormable”, ami azt jelenti, hogy a támadó használhatja olyan rosszindulatú programok futtatására, amelyek automatikusan terjednek az azonos biztonsági réssel rendelkező rendszerek között.

A probléma komolyságának szemléltetéséhez érdemes visszaemlékeznünk egy hírhedt támadásra, amely szintén a Windows rendszerek sebezhetőségét használta ki és ez nem más, mint a WannaCry. A globális WannaCry támadások az EternalBlue-nak nevezett biztonsági rést/sebezhetőséget használták fel 150 ország több mint 200 000 számítógépének megfertőzésére. A Microsoft két hónappal a WannaCry támadások előtt kiadta a sebezhetőségre vonatkozó frissítést, ennek ellenére a WannaCry a mai napig aktív. A globális támadás óta eltelt két évben több mint 5 millió ilyen zsarolóvírust azonosítottak. Ez az eset is jó példa arra, hogy milyen fontos a biztonsági javítások azonnali telepítése.

Javaslat: Frissítse a rendszerét és ne hagyjon nyitott kapukat!

Hogy megvédje felhasználóit, a Microsoft már kiadott egy frissítést az érintett rendszerekre, a Windows XP, Windows 7 és Windows Server 2008 rendszereket is beleértve. Habár a Microsoft nem talált a sebezhetőség kihasználására vonatkozó próbálkozásokat, a rosszindulatú szereplők nagy valószínűséggel fognak írni hozzá exploit-ot és beépítik a malware-be. Ezért létfontosságú, hogy az érintett rendszerek összes felhasználója azonnal telepítse a megfelelő frissítéseket.

Az olyan fejlett védelmi megoldások, mint például a Panda Adaptive Defense és a Panda Adaptive Defense 360, extra biztonsági réteget biztosítanak, amelyek a „Lock Mode” aktiválásával úgynevezett “bunkerekké” alakíthatják a végpontokat. Ez minden ismeretlen programot megállít mindaddig, amíg a Panda Security nem hitelesíti azokat.

A Microsoft további javaslatai:

• A hálózati szintű hitelesítés (NLA) engedélyezése kompatibilis rendszereken (Windows 7, Windows Server 2008 and Windows Server 2008 R2)
• A távoli asztal (Remote Desktop) funkció letiltása nem létfontosságú esetekben

Győződjön meg arról, hogy mindig naprakész a frissítéseket és javításokat illetően

A releváns frissítések hiánya miatt bekövetkezett kibertámadások listája nagyon hosszú. A ransomware-től és cryptojacking-től a nagyszabású adatfeltörésekig terjed. Az alkalmazandó frissítések keresésekor és telepítésekor az egyik legnagyobb probléma, amivel a cégek szembesülnek, az erőforrás és az idő hiánya. A megfelelő frissítések kiválogatása sok időt vesz igénybe és azt is nehéz eldönteni, hogy melyik frissítés kerüljön előbb telepítésre.

A javítások és frissítések kezelésének és telepítési sorrendjének meghatározásában a Panda Patch Management tud segítséget nyújtani. Ez a modul nem igényel külön telepítést (igény esetén kerül aktiválásra), és nemcsak az operációs rendszerhez biztosít javításokat és frissítéseket, hanem több száz harmadik féltől származó alkalmazáshoz is.

• Feltár, tervez, telepít és monitoroz: a végpont állapotának láthatóságát biztosítja valós időben, sebezhetőség, javítások, függőben lévő frissítések és nem támogatott szoftverek (EoL) tekintetében.
• Auditálja, monitorozza és rangsorolja a frissítéseket az operációs rendszereken és alkalmazásokon: A rendszerhez, valamint a harmadik féltől származó alkalmazásokhoz tartozó javítások és függőben lévő frissítések egyesített nézetét biztosítja.
• A software sebezhetőségéből adódó támadási felület szisztematikus csökkentésével megelőzi az incidenseket: A javítások és frissítések kezelésével megelőzhetők a sebezhetőségek kihasználására irányuló támadások.
• Megfékezi a támadásokat, és enyhíti azok hatását azáltal, hogy azonnali javításokat végez a végpontokon: A konzol összeveti az észlelt fenyegetéseket és exploitokat a feltárt biztonsági résekkel. Azáltal, hogy a webkonzol azonnal kiküldi a hiányzó frissítéseket, minimalizálható a támadásra adott válaszidő.

Bővebben a Patch Managementről itt olvashat.

Forrás: https://hirek.pandahungary.hu

(x)