Phát hiện lỗ hổng tấn công giao thức Windows Remote Desktop qua cổng 3389

02/10/2019

Theo thông tin mới nhận được, hiện đang có cảnh báo về hai lỗ hổng mới CVE-2019-1181CVE-2019-1182. Khai thác tấn công từ xa vào giao thức Remote Desktop qua cổng mặc định 3389. Cụ thể như sau:

Thông tin lỗ hổng

Kẻ tấn công gửi gói tin có cấu trúc đặc biệt đến dịch vụ Remote Desktop trên máy tính nạn nhân. Qua cổng mặc định 3389 là có thể khai thác tấn công RCE thành công. Đặc biệt quý khách hàng không cần tương tác người dùng. Sau khi khai thác thành công lỗ hổng, kẻ tấn công có thể thực hiện lây nhiễm. Đồng thời có thể phát tán các dòng mã độc nguy hiểm tới các máy khác trong hệ thống nội bộ.

Theo đánh giá của Microsoft, hai lỗ hổng CVE-2019-1181, CVE-2019-1182 có thể khai thác thành công trong thực tế với khả năng lây nhiễm cao. Gây ra mức độ ảnh hưởng nghiêm trọng như lỗ hổng EternalBlue bị mã độc tống tiền WannaCry tấn công trước đây.

Mã lỗi: CVE-2019-1181CVE-2019-1182

Đánh giá: Lỗ hổng mức CAO.

Đối tượng bị ảnh hưởng:

  • Máy tính sử dụng các phiên bản Windows bị ảnh hưởng
  • Kẻ tấn công có thể kết nối đến dịch vụ Remote Desktop của máy tính nạn nhân qua cổng mặc định 3389

Lưu ý: Các phiên bản Windows XP, Windows Server 2003 và Windows Server 2008 không bị ảnh hưởng. Vì vậy, chúng tôi kính đề nghị Quý khách hàng nhanh chóng thực hiện ít nhất một trong các biện pháp sau:

  • Update bản vá mới nhất của Microsoft theo đường dẫn

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

Trên giao thức Remote Desktop bật xác thực NLA (Network Level Authentication). Yêu cầu xác thực người dùng. Bằng cách này, kẻ tấn công phải được xác thực trước khi có thể gửi gói tin độc khai.

VNSO xin thông báo để Quý khách biết và xử lý đảm bảo chất lượng dịch vụ tốt hơn.