Phát hiện lỗ hổng tấn công giao thức Windows Remote Desktop qua cổng 3389

02/10/2019

Theo thông tin mới nhận được, hiện đang có cảnh báo về hai lỗ hổng mới CVE-2019-1181CVE-2019-1182 khai thác tấn công từ xa vào giao thức Remote Desktop qua cổng mặc định 3389. Cụ thể như sau:

Thông tin lỗ hổng: Kẻ tấn công gửi gói tin có cấu trúc đặc biệt đến dịch vụ Remote Desktop trên máy tính nạn nhân (qua cổng mặc định 3389) là có thể khai thác tấn công RCE thành công mà không cần tương tác người dùng. Sau khi khai thác thành công lỗ hổng, kẻ tấn công có thể thực hiện lây nhiễm, phát tán các dòng mã độc nguy hiểm tới các máy khác trong hệ thống nội bộ.

Theo đánh giá của Microsoft, hai lỗ hổng CVE-2019-1181, CVE-2019-1182 có thể khai thác thành công trong thực tế với khả năng lây nhiễm cao, gây ra mức độ ảnh hưởng nghiêm trọng như lỗ hổng EternalBlue bị mã độc tống tiền WannaCry tấn công trước đây.

Mã lỗi: CVE-2019-1181CVE-2019-1182

Đánh giá: lỗ hổng mức: CAO.

Đối tượng bị ảnh hưởng:

  • Máy tính sử dụng các phiên bản Windows bị ảnh hưởng
  • Kẻ tấn công có thể kết nối đến dịch vụ Remote Desktop của máy tính nạn nhân qua cổng mặc định 3389

Lưu ý: các phiên bản Windows XP, Windows Server 2003 và Windows Server 2008 không bị ảnh hưởng.

Vì vậy, Công ty VNSO kính đề nghị Quý khách hàng nhanh chóng thực hiện ít nhất một trong các biện pháp sau:

  • Update bản vá mới nhất của Microsoft theo đường dẫn

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

· Trên giao thức Remote Desktop bật xác thực NLA (Network Level Authentication) để yêu cầu xác thực người dùng. Bằng cách này, kẻ tấn công phải được xác thực trước khi có thể gửi gói tin độc khai

Công ty Công nghệ VNSO xin thông báo để Quý khách được biết và xử lý để đảm bảo chất lượng dịch vụ tốt hơn