Cybersecurity Windows

ถึงเวลาปิด RDP (Remote Desktop Protocol)

Remote Desktop Protocol (RDP) และช่องโหว่ BlueKeep เกี่ยวข้องกันอย่างไร?

การโจมตี Bruce-force และการเจาะช่องโหว่ BlueKeep กำลังคุกคามการเชื่อมต่อ RDP (Remote Desktop Protocol) ESET ปล่อยเครื่องสำหรับการตรวจสอบช่องโหว่ใน Windows

ช่องโหว่ BlueKeep (CVE-2019-0708) ยังไม่ถูกใช้เพื่อแพร่กระจายมัลแวร์ แต่หากไม่มีการแก้ไข ความสามารถในการแพร่กระจายตัวเอง (Worm) อาจสร้างความเสียหายที่คาดไม่ถึงได้

ESET BlueKeep (CVE-2019-0708) Detection Tool (Download)

RDP คืออะไร?

RDP (Remote Desktop Protocol) ความหมายโดยย่อก็คือ การเชื่อมต่อระหว่างคอมพิวเตอร์เครื่องหนึ่งไปอีกเครื่องหนึ่งผ่านระบบรีโมต ซึ่งคอมพิวเตอร์ที่ใช้ Windows XP หรือ Windows 10 มีซอฟต์แวร์ RDP ติดตั้งไว้เป็นส่วนหนึ่งของระบบปฏิบัติการอยู่แล้ว ซึ่งการเชื่อมต่อแบบ RDP จะทำให้ผู้ที่เชื่อมต่อสามารถเข้าถึงเครือข่าย เซิร์ฟเวอร์ขององค์กรหรือแม้กระทั่งเซิร์ฟเวอร์ที่เป็น Virtual Machine (VM) และสามารถดำเนินกิจกรรมทั้งค้นหาไฟล์ ดาวน์โหลด อัพโหลดไฟล์ และเริ่มทำงานโปรแกรม

ในปี 1995 RDP ถูกคิดค้นโดย Citrix และขายในแพ๊กเกจร่วมกับ Windows NT 3.51 หรือที่เรียกว่า WinFrame และในปี 1998 ทาง Microsoft เพิ่ม RDP ให้กับ Windows NT 4.0 Terminal Server Edition และ RDP ก็เป็นส่วนหนึ่งของระบบปฏิบัติการ Windows Server มาตลอด และทุกวันนี้ RDP ก็สามารถใช้งานได้โดยไม่ต้องเข้าถึงห้องเซิร์ฟเวอร์

ทำไมแฮกเกอร์ถึงเลือกโจมตี RDP?

ในปีที่ผ่านมาทาง ESET พบเหตุการณ์ที่แฮกเกอร์เชื่อมต่อ Windows Server ผ่านรีโมต RDP มากขึ้น และพยายามล็อคอินเป็นผู้ดูแล และดำเนินกิจกรรมต่างๆ เช่น

  • ติดตั้งโปรแกรม Coin-Mining เพื่อใช้ทรัพยากรบนเครื่องของเหยื่อในการค้นหาเงินสกุลออนไลน์ อย่าง Monero, Bitcoin และอื่นๆ
  • ติดตั้งโปรแกรมเรียกค่าไถ่ (Ransomware) เพื่อเข้ารหัสหรือล็อคไฟล์ภายในเครื่อง และเรียกเงินค่าไถ่ไฟล์คืน

การโจมตีระยะกว้าง

ช่องโหว่รหัส CVE-2019-0708 หรือ “BlueKeep” เป็นช่องโหว่ในระบบ RDP ใน Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 and Windows Server 2008 R2

ซึ่งช่องโหว่ BlueKeep ทำให้แฮกเกอร์เริ่มทำงานโค้ด และยังแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆได้ เช่นเดียวกันกับโปรแกรมเรียกค่าไถ่ WannaCry ที่แพร่ระบาดอย่างหนักในปี 2017

การป้องกันแฮกเกอร์โจมตีผ่าน RDP

หากคุณไม่มีความจำเป็นในการใช้งาน RDP การเลือกที่จะปิดก่ีใช้งานก็เป็นทางเลือกที่ดี แต่ถ้าหากคุณมีความจำเป็นที่จะต้องใช้งานหรือองค์กรของคุณต้องใช้งาน เราก็มีวิธีการที่สามารถลดความเสี่ยงและปกป้องคุณและองค์กรจากการโจมตีผ่าน RDP

คำแนะนำเหตุผล
1. ปิดการเชื่อมต่อพอร์ต 3389 (TCP/UDP) ที่ไฟร์วอลล์ป้องกันการเข้าถึงผ่าน RDP จากอินเตอร์เน็ต
2. แก้ไขและทดสอบแพทช์ช่องโหว่ CVE-2019-0708 (BlueKeep) และเปิดใช้งาน Network Level Authenticationการติดตั้งและอัพเดตแพทช์ของ Microsoft จะช่วยปกป้องอุปกรณ์จากช่องโหว่ BlueKeep
3. ทุกบัญชีที่มีการล็อคอิน RDP ควรมีรหัสผ่านที่ซับซ้อน (มากกว่า 15 ตัวอักษร และไม่มีความเกี่ยวข้องกับองค์กร)ป้องกันการคาดเดารหัสผ่านและการโจมตีแบบ Credential Stuffing ด้วยความยาวและความซับซ้อนของรหัสผ่าน
4. ติดตั้ง Two-factor Authentication (2FA) ให้การล็อคอิน RDP ทั้งหมดเพิ่มการป้องกันอีกชั้นให้กับพนักงานในองค์กร ไม่ว่าพวกเขาจะเข้าใช้งานผ่านอุปกรณ์พกพา หรือคอมพิวเตอร์
5. ติดตั้ง Virtual Private Network (VPN) สำหรับการเชื่อมต่อ RDP จากเครือข่ายภายนอกป้องกันการเชื่อมต่อ RDP ระหว่างอินเตอร์เน็ตและเครือข่ายภายใน เพิ่มขั้นตอนการเข้าถึงคอมพิวเตอร์
6. ตั้งรหัสผ่านปกป้องซอฟต์แวร์ความปลอดภัย ด้วยรหัสผ่านที่มีความซับซ้อนป้องกันไม่ให้แฮกเกอร์ยักยอดสิทธิการควบคุมของผู้ดูแลเครือข่าย
7. เปิดใช้งานฟีเจอร์การเจาะช่องโหว่ของโปรแกรมรักษาความปลอดภัยโปรแกรมรักษาความปลอดภัยส่วนมากสามารถป้องกันเทคนิคการเจาะช่องโหว่ได้ ตรวจสอบว่าฟีเจอร์เปิดใช้งานอยู่หรือไม่?
8. แยกคอมพิวเตอร์ที่ไม่ปลอดภัยและยังคงต้องการใช้งาน RDPแยกคอมพิวเตอร์ที่มีช่องโหว่ออกจากเครือข่าย
9. หาคอมพิวเตอร์ทดแทนหากคอมพิวเตอร์ไม่สามารถอัพเดตแพทช์แก้ไขช่องโหว่ BlueKeep ให้เตรียมการหาอุปกรณ์มาทดแทน
10. จัดตั้งการล็อก geoIP ที่ VPN gatewayหากพนักงานหรือตัวแทนที่อยู่ในประเทศเดียวกันหรือใกล้เคียง การป้องกันการเชื่อมต่อการประเทศที่ไม่เกี่ยวข้องจะช่วยลดโอกาสโดนโจมตี

ตรวจสอบช่องโหว่ BlueKeep ด้วย โปรแกรมของ ESET

ทาง ESET ปล่อยเครื่องมือสำหรับตรวจสอบช่องโหว่ BlueKeep (CVE-2019-0708) เพื่อตรวจสอบว่าคอมพิวเตอร์ Windows ของคุณมีช่องโหว่และได้รับการแก้ไขแล้วหรือยัง

ProgramESET BlueKeep (CVE-2019-0708) vulnerability checker
Version1.0.0.1
Locationhttps://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetbluekeepchecker.exe
SHA-1 hashC0E66EA2659D2EA172950572FDB5DE881D3882D8

แม้ว่าช่องโหว่ BlueKeep จะยังไม่ถูกนำไปใช้แพร่กระจาย แต่ก็มีความเป็นไปได้สูงที่ช่องโหว่นี้จะถูกนำมาใช้ในอนาคต เราจึงต้องการที่จะอุดช่องโหว่ในเครือข่าย

แต่อย่างไรก็ตามการอัพเดตแพทช์บางครั้งก็มีค่าใช้จ่ายที่เพิ่มขึ้น โดยเฉพาะกับองค์กรที่อาจจะต้องเปลี่ยนอุปกรณ์หรือไม่สามารถเปลี่ยนได้ แต่ ESET Secure Authentication ก็สามารถช่วยปกป้องเครือข่ายของคุณได้อีกทาง

Author: Aryeh Goretsky
Source:
https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-internet/
Translated by: Worapon H.

%d bloggers like this: