TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ดูเหมือนเหตุการณ์รุนแรงของช่องโหว่ BlueKeep จะหนักหนาอยู่พอสมควรเพราะไม่บ่อยนักที่ NSA จะออกมาเตือนอย่างจริงจังถึงช่องโหว่ต่างๆ โดยช่องโหว่นี้เกิดขึ้นกับ Windows Remote Desktop ซึ่ง Microsoft แพตช์แล้วเมื่อเดือนที่ผ่านมา
ช่องโหว่ BlueKeep ถูกจัดอยู่ในความรุนแรงขั้นวิกฤตและมีหมายเลขอ้างอิง CVE-2019-0708 ที่เกิดขึ้นบน Windows RDS ซึ่งกระทบกับผู้ใช้ในวงกว้างคือ Windows 7, XP, Server 2008/R2 และ Server 2003 โดยจากการประเมินผ่านการค้นหาออนไลน์คาดว่ามีเหยื่อได้กว่าล้านเครื่อง ทั้งนี้ช่องโหว่ดังกล่าวถูกประเมินว่าจะสามารถสร้างสถานการณ์ได้เลวร้ายได้พอๆ กับ WannaCry เลยทีเดียว นอกจากนี้ปัจจุบันเริ่มมีนักวิจัยได้ปล่อยโค้ด PoC มาบ้างแล้ว เช่น สร้างเป็นโมดูลใน Matasploit หรือ Remote เข้าไปสั่งปิดเครื่อง (DoS) เป็นต้น อย่างไรก็ดีจึงคาดว่าอีกไม่นานก็คงมีการโจมตีทยอยออกมา
NSA กล่าวว่า “เราขอเตือนท่านทุกคนให้ยอมเสียเวลาและทรัพยากรในเครือข่ายเพื่อแพตช์เครื่องที่ได้รับผลกระทบซะ” ดังนั้นผู้ดูแลระบบไม่ควรเพิกเฉยนะครับ สำหรับการป้องกันและบรรเทาปัญหาทำได้ดังนี้
- ใช้ Firewall บล็อกพอร์ต 3389 และเปิดให้เข้าได้เฉพาะเครือข่ายภายในที่น่าเชื่อถือหากจำเป็นต้องใช้
- หากไม่จำเป็นต้องใช้ปิด Service ได้ทันที (เป็นมาตรการความมั่นคงปลอดภัยโดยทั่วไปอยู่แล้วคือไม่ใช้อะไรควรปิด)
- เปิดใช้ Network Level Authentication (NLA)
ที่มา : https://www.securityweek.com/nsa-urges-windows-users-patch-bluekeep-vulnerability และ https://techcrunch.com/2019/06/05/nsa-advisory-bluekeep-patch/
One comment
Pingback: เตือน 'GoldBrute' Botnet โจมตี Windows RDP กว่า 1.5 ล้านเครื่องแล้วด้วยการ Brute-force - TechTalkThai