RDP (Remote Desktop Protocol) ความหมายโดยย่อก็คือ การเชื่อมต่อระหว่างคอมพิวเตอร์เครื่องหนึ่งไปอีกเครื่องหนึ่งผ่านระบบรีโมต ซึ่งคอมพิวเตอร์ที่ใช้ Windows XP หรือ Windows 10 มีซอฟต์แวร์ RDP ติดตั้งไว้เป็นส่วนหนึ่งของระบบปฏิบัติการอยู่แล้ว ซึ่งการเชื่อมต่อแบบ RDP จะทำให้ผู้ที่เชื่อมต่อสามารถเข้าถึงเครือข่าย เซิร์ฟเวอร์ขององค์กรหรือแม้กระทั่งเซิร์ฟเวอร์ที่เป็น Virtual Machine (VM) และสามารถดำเนินกิจกรรมทั้งค้นหาไฟล์ ดาวน์โหลด อัพโหลดไฟล์ และเริ่มทำงานโปรแกรม
ในปี 1995 RDP ถูกคิดค้นโดย Citrix และขายในแพ๊กเกจร่วมกับ Windows NT 3.51 หรือที่เรียกว่า WinFrame และในปี 1998 ทาง Microsoft เพิ่ม RDP ให้กับ Windows NT 4.0 Terminal Server Edition และ RDP ก็เป็นส่วนหนึ่งของระบบปฏิบัติการ Windows Server มาตลอด และทุกวันนี้ RDP ก็สามารถใช้งานได้โดยไม่ต้องเข้าถึงห้องเซิร์ฟเวอร์
ทำไมแฮกเกอร์ถึงเลือกโจมตี RDP?
ในปีที่ผ่านมาทาง ESET พบเหตุการณ์ที่แฮกเกอร์เชื่อมต่อ Windows Server ผ่านรีโมต RDP มากขึ้น และพยายามล็อคอินเป็นผู้ดูแล และดำเนินกิจกรรมต่างๆ เช่น
ช่องโหว่รหัส CVE-2019-0708 หรือ “BlueKeep” เป็นช่องโหว่ในระบบ RDP ใน Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 and Windows Server 2008 R2
WeLiveSecurity Thai Edition's 
การโจมตี Bruce-force และการเจาะช่องโหว่ BlueKeep กำลังคุกคามการเชื่อมต่อ RDP (Remote Desktop Protocol) ESET ปล่อยเครื่องสำหรับการตรวจสอบช่องโหว่ใน Windows
ช่องโหว่ BlueKeep (CVE-2019-0708) ยังไม่ถูกใช้เพื่อแพร่กระจายมัลแวร์ แต่หากไม่มีการแก้ไข ความสามารถในการแพร่กระจายตัวเอง (Worm) อาจสร้างความเสียหายที่คาดไม่ถึงได้
ESET BlueKeep (CVE-2019-0708) Detection Tool (Download)
RDP คืออะไร?
RDP (Remote Desktop Protocol) ความหมายโดยย่อก็คือ การเชื่อมต่อระหว่างคอมพิวเตอร์เครื่องหนึ่งไปอีกเครื่องหนึ่งผ่านระบบรีโมต ซึ่งคอมพิวเตอร์ที่ใช้ Windows XP หรือ Windows 10 มีซอฟต์แวร์ RDP ติดตั้งไว้เป็นส่วนหนึ่งของระบบปฏิบัติการอยู่แล้ว ซึ่งการเชื่อมต่อแบบ RDP จะทำให้ผู้ที่เชื่อมต่อสามารถเข้าถึงเครือข่าย เซิร์ฟเวอร์ขององค์กรหรือแม้กระทั่งเซิร์ฟเวอร์ที่เป็น Virtual Machine (VM) และสามารถดำเนินกิจกรรมทั้งค้นหาไฟล์ ดาวน์โหลด อัพโหลดไฟล์ และเริ่มทำงานโปรแกรม
ในปี 1995 RDP ถูกคิดค้นโดย Citrix และขายในแพ๊กเกจร่วมกับ Windows NT 3.51 หรือที่เรียกว่า WinFrame และในปี 1998 ทาง Microsoft เพิ่ม RDP ให้กับ Windows NT 4.0 Terminal Server Edition และ RDP ก็เป็นส่วนหนึ่งของระบบปฏิบัติการ Windows Server มาตลอด และทุกวันนี้ RDP ก็สามารถใช้งานได้โดยไม่ต้องเข้าถึงห้องเซิร์ฟเวอร์
ทำไมแฮกเกอร์ถึงเลือกโจมตี RDP?
ในปีที่ผ่านมาทาง ESET พบเหตุการณ์ที่แฮกเกอร์เชื่อมต่อ Windows Server ผ่านรีโมต RDP มากขึ้น และพยายามล็อคอินเป็นผู้ดูแล และดำเนินกิจกรรมต่างๆ เช่น
การโจมตีระยะกว้าง
ช่องโหว่รหัส CVE-2019-0708 หรือ “BlueKeep” เป็นช่องโหว่ในระบบ RDP ใน Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 and Windows Server 2008 R2
ซึ่งช่องโหว่ BlueKeep ทำให้แฮกเกอร์เริ่มทำงานโค้ด และยังแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆได้ เช่นเดียวกันกับโปรแกรมเรียกค่าไถ่ WannaCry ที่แพร่ระบาดอย่างหนักในปี 2017
การป้องกันแฮกเกอร์โจมตีผ่าน RDP
หากคุณไม่มีความจำเป็นในการใช้งาน RDP การเลือกที่จะปิดก่ีใช้งานก็เป็นทางเลือกที่ดี แต่ถ้าหากคุณมีความจำเป็นที่จะต้องใช้งานหรือองค์กรของคุณต้องใช้งาน เราก็มีวิธีการที่สามารถลดความเสี่ยงและปกป้องคุณและองค์กรจากการโจมตีผ่าน RDP
ตรวจสอบช่องโหว่ BlueKeep ด้วย โปรแกรมของ ESET
ทาง ESET ปล่อยเครื่องมือสำหรับตรวจสอบช่องโหว่ BlueKeep (CVE-2019-0708) เพื่อตรวจสอบว่าคอมพิวเตอร์ Windows ของคุณมีช่องโหว่และได้รับการแก้ไขแล้วหรือยัง
แม้ว่าช่องโหว่ BlueKeep จะยังไม่ถูกนำไปใช้แพร่กระจาย แต่ก็มีความเป็นไปได้สูงที่ช่องโหว่นี้จะถูกนำมาใช้ในอนาคต เราจึงต้องการที่จะอุดช่องโหว่ในเครือข่าย
แต่อย่างไรก็ตามการอัพเดตแพทช์บางครั้งก็มีค่าใช้จ่ายที่เพิ่มขึ้น โดยเฉพาะกับองค์กรที่อาจจะต้องเปลี่ยนอุปกรณ์หรือไม่สามารถเปลี่ยนได้ แต่ ESET Secure Authentication ก็สามารถช่วยปกป้องเครือข่ายของคุณได้อีกทาง
Author: Aryeh Goretsky
Source: https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-internet/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: