Varsel: Alvorlig sårbarhed i Remote Desktop Services - CVE-2019-0708
Center for Cybersikkerhed er blevet bekendt med, at der er blevet udgivet et proof of concept, der gør det muligt at udnytte CVE-2019-0708.
22. maj, 2019 - Kl. 16.00
[Oprindeligt publiceret af Center for Cybersikkerhed]
Center for Cybersikkerhed er blevet bekendt med, at der er blevet udgivet et proof of concept, der gør det muligt at udnytte den sårbarhed i Remote Desktop Services i Windows (CVE-2019-0708), der er blevet omtalt i medierne siden Microsofts seneste opdateringer i maj 2019.
Der er tale om en sårbarhed i Windows Remote Desktop Services (tidligere Terminal Services), som kan udnyttes gennem Remote Desktop Protocol (RDP) i ikke-patchede versioner af Windows 7, Windows Server 2008, samt ældre udgaver af Windows.
Sårbarheden blev lukket af Microsoft i maj måneds sikkerhedsopdateringer. På baggrund af, at der efterfølgende er blevet udgivet et PoC (proof of concept), der demonstrerer remote code execution ved hjælp af sårbarheden, anbefaler Center for Cybersikkerhed, at man installerer sikkerhedsopdateringen hurtigst muligt.
Udover at give angriberen mulighed for at eksekvere kode på offerets maskine, er sårbarheden ifølge Microsoft også "wormable", hvilket vil sige, at den potentielt kan udnyttes til malware, der er i stand til at sprede sig mellem sårbare systemer uden brugerindblanding, også kaldet en orm.
Flere oplysninger kan bl.a. findes her:
Microsoft: Prevent a worm by updating Remote Desktop Services (CVE-2019-0708)
McAfee: Understanding the Wormable RDP Vulnerability CVE-2019-0708
Anbefaling
Center for Cybersikkerhed anbefaler, at der overvejes passende modforanstaltninger for at imødegå truslen. Dette indebærer blandt andet, at man sørger for at patche sine systemer.
Microsoft har udgivet en advisory samt patch mod exploitet, der kan findes her: CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability
Siden inkluderer også patches til ældre versioner af Microsoft Windows, herunder Windows XP.
Såfremt enkelte systemer ikke kan patches, bør man overveje at isolere dem fra netværket eller lukke dem ned. Som minimum bør man være opmærksom på kommunikation på UDP og TCP port 3389. Derudover bør man begrænse adgang til UDP og TCP port 3389 på interne systemer fra internettet.
Dette varsel kan også findes som PDF.
Opdateret 23. maj 2019 med præcisering af, at sårbarheden findes i Remote Desktop Services og ikke i selve protokollen Remote Desktop Protocol.
Center for Cybersikkerhed er blevet bekendt med, at der er blevet udgivet et proof of concept, der gør det muligt at udnytte den sårbarhed i Remote Desktop Services i Windows (CVE-2019-0708), der er blevet omtalt i medierne siden Microsofts seneste opdateringer i maj 2019.
Der er tale om en sårbarhed i Windows Remote Desktop Services (tidligere Terminal Services), som kan udnyttes gennem Remote Desktop Protocol (RDP) i ikke-patchede versioner af Windows 7, Windows Server 2008, samt ældre udgaver af Windows.
Sårbarheden blev lukket af Microsoft i maj måneds sikkerhedsopdateringer. På baggrund af, at der efterfølgende er blevet udgivet et PoC (proof of concept), der demonstrerer remote code execution ved hjælp af sårbarheden, anbefaler Center for Cybersikkerhed, at man installerer sikkerhedsopdateringen hurtigst muligt.
Udover at give angriberen mulighed for at eksekvere kode på offerets maskine, er sårbarheden ifølge Microsoft også "wormable", hvilket vil sige, at den potentielt kan udnyttes til malware, der er i stand til at sprede sig mellem sårbare systemer uden brugerindblanding, også kaldet en orm.
Flere oplysninger kan bl.a. findes her:
Microsoft: Prevent a worm by updating Remote Desktop Services (CVE-2019-0708)
McAfee: Understanding the Wormable RDP Vulnerability CVE-2019-0708
Anbefaling
Center for Cybersikkerhed anbefaler, at der overvejes passende modforanstaltninger for at imødegå truslen. Dette indebærer blandt andet, at man sørger for at patche sine systemer.
Microsoft har udgivet en advisory samt patch mod exploitet, der kan findes her: CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability
Siden inkluderer også patches til ældre versioner af Microsoft Windows, herunder Windows XP.
Såfremt enkelte systemer ikke kan patches, bør man overveje at isolere dem fra netværket eller lukke dem ned. Som minimum bør man være opmærksom på kommunikation på UDP og TCP port 3389. Derudover bør man begrænse adgang til UDP og TCP port 3389 på interne systemer fra internettet.
Dette varsel kan også findes som PDF.
Opdateret 23. maj 2019 med præcisering af, at sårbarheden findes i Remote Desktop Services og ikke i selve protokollen Remote Desktop Protocol.