Brute-Force-Angriffe und BlueKeep nutzen den usurpatorischen Komfort direkter RDP-Verbindungen; ESET veröffentlicht ein Tool zum Testen Ihrer Windows-Computer auf anfällige Versionen
Die Sicherheitsanfälligkeit von BlueKeep (CVE-2019-0708) hat zwar bis heute kein weit verbreitetes Chaos verursacht, und wir werden uns die Gründe ansehen, warum sie in diesem Beitrag noch sehr früh ist in seinem Nutzungslebenszyklus. Tatsache bleibt, dass viele Systeme immer noch nicht gepatcht sind und eine durch und durch wormable Version des Exploits noch gefunden werden könnte. Aufgrund dieser Faktoren hat ESET ein kostenloses Dienstprogramm erstellt, um zu überprüfen, ob ein System anfällig ist.,
Manchmal muss man etwas über Dinge sagen, die „selbstverständlich“ sind, und es scheint, dass der beste Weg, diesen Beitrag zu beginnen, darin besteht, genau das zu erwähnen, denn dies ist kein Thema, über das ich in der heutigen Zeit schreiben musste. Bevor wir eintauchen, schauen wir uns zunächst eine alte Maxime an.
Im Feld Informationssicherheit gibt es ein altes Sprichwort: Wenn ein Gegner physischen Zugriff auf Ihren Computer hat, ist er nicht mehr Ihr Computer. Der Grund dafür ist ganz einfach: Sobald die Angreifer einen Computer in der Hand haben, können sie alles ändern, was sie wollen., Das Installieren von Geräten wie Hardware-Keyloggern, das Entfernen von Laufwerken und das Kopieren und anderweitige Löschen, Ändern oder Hinzufügen von beliebigen Elementen auf dem System wird exponentiell einfacher, wenn Sie direkt zum Computer gehen können. Dies ist keine besonders überraschende Wendung oder eine besonders kluge Wendung. Vielmehr ist es eine unvermeidliche Wahrheit. Für die Gegner ist es nur ein Teil ihrer Jobbeschreibung.
Unternehmen und Schulen und alle Arten von Organisationen sind jedoch nicht blind dafür., Diese Art von Orten stellen ihre Server nicht an der Rezeption in der Lobby, im Empfangsbereich, im Besucherzentrum, im Wartezimmer oder an anderen Orten ab, an denen die Öffentlichkeit oder möglicherweise Mitarbeiter, Fakultäten, Studenten oder Mitarbeiter eintreten und physischen Zugang zu ihnen erhalten. Oder zumindest kein Unternehmen, das im Geschäft bleiben will, erlaubt dies. Normalerweise gibt es eine Trennung der Server, unabhängig davon, ob sie sich in ihrem eigenen dedizierten Raum befinden oder sogar in einer hinteren Ecke versteckt sind, die für die meisten Mitarbeiter tabu ist.,
Doch bei all diesem allgemeinen Wissen werden die Lehren aus der Sicherheit in der physischen Welt nicht immer gut (oder richtig) in die Internetwelt übertragen. Es gibt viele Server, auf denen verschiedene Versionen von Microsoft Windows Server-Betriebssystemen ausgeführt werden, die direkt mit dem Internet verbunden sind und wenig oder gar keine praktische Sicherheit bieten, wer auf sie zugreifen kann. Und das bringt uns zur Diskussion von RDP.
Was ist RDP?
Mit RDP, kurz für Remote Desktop Protocol, kann ein Computer über ein Netzwerk eine Verbindung zu einem anderen Computer herstellen, um ihn remote zu verwenden., In einer Domäne verfügen Computer, auf denen ein Windows-Client-Betriebssystem wie Windows XP oder Windows 10 ausgeführt wird, über eine vorinstallierte RDP-Clientsoftware als Teil des Betriebssystems, mit der sie eine Verbindung zu anderen Computern im Netzwerk herstellen können, einschließlich der Server der Organisation. Eine Verbindung zu einem Server bedeutet in diesem Fall, dass er direkt mit dem Betriebssystem des Servers oder mit einem Betriebssystem verbunden sein kann, das in einer virtuellen Maschine auf diesem Server ausgeführt wird., Über diese Verbindung kann eine Person Verzeichnisse öffnen, Dateien herunterladen und hochladen und Programme ausführen, als ob sie die mit diesem Server verbundene Tastatur und den Monitor verwenden würde.
RDP wurde 1995 von Citrix erfunden und als Teil einer erweiterten Version von Windows NT 3.51 namens WinFrame verkauft. Im Jahr 1998 fügte Microsoft RDP zu Windows NT 4.0 Terminal Server Edition., Seitdem ist das Protokoll Teil aller Versionen von Microsofts Windows Server-Betriebssystemen und seit der Veröffentlichung von Windows XP im Jahr 2001 in allen Nicht-Home-User-Editionen von Windows Client-Betriebssystemen enthalten. Zu den gängigen Benutzern von RDP gehören heute Systemadministratoren, die die Remoteverwaltung von Servern von ihren Kabinen aus durchführen, ohne in den Serverraum gehen zu müssen, sowie Remote-Mitarbeiter, die eine Verbindung zu virtualisierten Desktop-Computern in der Domäne ihrer Organisation herstellen können.
Was machen Angreifer mit RDP?,
In den letzten Jahren hat ESET eine zunehmende Anzahl von Vorfällen erlebt, bei denen die Angreifer über RDP eine Remote-Verbindung zu einem Windows-Server über das Internet hergestellt und sich als Administrator des Computers angemeldet haben. Sobald die Angreifer als Administrator beim Server angemeldet sind, führen sie in der Regel eine Erkundung durch, um festzustellen, wofür der Server verwendet wird, von wem und wann er verwendet wird.
Sobald die Angreifer die Art von Server kennen, über den sie die Kontrolle haben, können sie schädliche Aktionen ausführen.,s, die wir gesehen haben, umfassen:
- Löschen von Protokolldateien, die Beweise für ihre Anwesenheit auf dem System enthalten
- Deaktivieren geplanter Sicherungen und Schattenkopien
- Deaktivieren von Sicherheitssoftware oder Einrichten von Ausschlüssen darin (was für Administratoren zulässig ist)
- Herunterladen und Installieren verschiedener Programme auf den Server
- Löschen oder Überschreiben alter Sicherungen, wenn sie zugänglich sind
- Exfiltrieren von Daten vom Server
Dies ist keine vollständige Liste aller Dinge, die ein Angreifer tun kann, noch wird ein Angreifer notwendigerweise all diese Aktivitäten ausführen., Angreifer können sich mehrmals über Tage oder nur einmal verbinden, wenn sie eine vorgegebene Agenda haben., Während die genaue Art dessen, was Angreifer tun werden, sehr unterschiedlich ist, sind zwei der häufigsten:
- Installation von Coin-Mining-Programmen, um Kryptowährung zu generieren, wie Monero
- Installation von Ransomware, um Geld von der Organisation zu erpressen, oft mit Kryptowährung bezahlt werden, wie Bitcoin
In einigen Fällen installieren Angreifer möglicherweise zusätzliche Fernsteuerungssoftware, um den Zugriff (Persistenz) auf kompromittierte Server aufrechtzuerhalten, falls ihre RDP-Aktivitäten entdeckt und beendet werden.,
Wir haben keine Server gesehen, die sowohl zum Erpressen über Ransomware als auch zum Abbau von Kryptowährung kompromittiert wurden, aber wir haben Fälle gesehen, in denen ein Server von einem Angreifer kompromittiert wurde, um Kryptowährung abzubauen, und später kompromittiert von anderen Angreifern, die den Münzminenarbeiter so geändert haben, dass der Erlös stattdessen an sie ging. Es scheint, es gibt wenig Ehre unter Dieben.
Das Wissen um RDP-Angriffe hat einen Punkt erreicht, an dem sogar Sextortion-Betrüger es in ihren Lösegeldnotizen erwähnen, um ihre Betrügereien legitimer klingen zu lassen.,
Abbildung 1. Bild von sextortion E-Mail-Betrug zu erwähnen RDP
Für weitere Informationen über diese Art von E-Mail-scams, ich empfehle diese Serie von Artikeln, die von meinem Kollegen Bruce P. Burrell: Teil I, Teil II und Teil III.
Masse RDP-Attacken
– Angriffe durchgeführt mit RDP wurden langsam, aber stetig wächst, und unterliegen einer Reihe von staatlichen Ankündigungen aus dem FBI, der britischen NCSC, Kanada, CCC, und Australien ist ACSC, um ein paar zu nennen.,
im Mai 2019 werden die Schleusen geöffnet, mit der Ankunft von CVE-2019-0708, aka „BlueKeep“, eine Sicherheitslücke im RDP betreffen Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2. Auf dem Desktop sind Windows 8 und höher sowie auf Servern Windows Server 2012 und höher nicht betroffen.
Die BlueKeep-Sicherheitsanfälligkeit ermöglicht es Angreifern, beliebigen Programmcode auf den Computern ihrer Opfer auszuführen., Während selbst einzelne Angreifer eine weit verbreitete Bedrohung darstellen können, da sie automatisierte Tools für Angriffe verwenden können, ist diese Sicherheitsanfälligkeit „wormable“, was bedeutet, dass sich ein Angriff automatisch über Netzwerke ausbreiten kann, ohne dass Benutzer eingreifen müssen Win32/Diskcoder.C (aka NotPetya) und Conficker Würmer haben in der Vergangenheit.
Die Ausnutzung von Wormable-Schwachstellen wird im Allgemeinen als schwerwiegendes Problem angesehen., Microsoft hat der Sicherheitsanfälligkeit in seinen veröffentlichten Leitlinien für Kunden den höchsten kritischen Schweregrad zugewiesen, und in der nationalen Sicherheitsanfälligkeitsdatenbank der US-Regierung wird der Eintrag für CVE-2019-0708 als 9.8 von 10 bewertet. Microsoft gab einen Blogbeitrag heraus, in dem Benutzer dringend empfohlen wurden, seine Patches zu installieren, einschließlich solcher für nicht unterstützte Betriebssysteme wie Windows XP und Windows Server 2003., Die Besorgnis über einen Wormable-Exploit war so groß, dass die US National Security Agency Anfang Juni eine seltene Empfehlung für die Installation von Microsoft-Patches für den Fehler herausgab.
Anfang September gab Rapid7, der Entwickler des Metasploit-Pentesting-Tools, die Veröffentlichung eines BlueKeep-Exploits bekannt. Während für die nächsten Monate keine größeren Eskalationen der BlueKeep-Aktivitäten gemeldet wurden, hat sich dies kürzlich geändert. Anfang November wurden Massenberichte über BlueKeep-Ausbeutung veröffentlicht, wie ZDNet und WIRED unter anderen Nachrichtenagenturen feststellten., Berichten zufolge waren die Angriffe weniger als erfolgreich, und etwa 91% der anfälligen Computer stürzten mit einem Stoppfehler (auch bekannt als Bug Check oder Blue Screen of Death) ab, wenn der Angreifer versucht, die BlueKeep-Sicherheitsanfälligkeit auszunutzen. Auf den verbleibenden 9% der anfälligen Computer haben diese Angreifer jedoch erfolgreich Monero Cryptomining-Software installiert. So, obwohl nicht der gefürchtete wurmbare Angriff, Es scheint, dass eine kriminelle Gruppe die Ausbeutung automatisiert hat, wenn auch ohne eine hohe Erfolgsquote.,
Als ich ursprünglich mit dem Schreiben dieses Blogbeitrags begann, war es nicht meine Absicht, auf eine detaillierte Beschreibung der Sicherheitsanfälligkeit einzugehen, noch war es meine Absicht, eine Zeitleiste ihrer Nutzung bereitzustellen: Mein Ziel war es, den Lesern ein Verständnis dafür zu vermitteln, was getan werden muss, um sich vor dieser Bedrohung zu schützen. Schauen wir uns also an, was getan werden muss.
Verteidigung gegen RDP-borne Angreifer
Also, mit all dem im Hinterkopf, was können Sie tun? Nun, das erste, was offensichtlich ist, ist die direkte Verbindung zu Ihren Servern über das Internet mit RDP zu stoppen., Dies kann für einige Unternehmen problematisch sein, da es einige scheinbar legitime Gründe dafür geben kann. Da die Unterstützung für Windows Server 2008 und Windows 7 jedoch im Januar 2020 endet, stellen Computer, auf denen diese ausgeführt werden, und der direkte Zugriff über RDP über das Internet ein Risiko für Ihr Unternehmen dar, das Sie bereits abmildern sollten.
Dies bedeutet nicht, dass Sie sofort aufhören müssen, RDP zu verwenden, sondern dass Sie zusätzliche Schritte unternehmen müssen, um es so schnell und so schnell wie möglich zu sichern., Zu diesem Zweck haben wir eine Tabelle mit den zehn wichtigsten Schritten erstellt, die Sie ausführen können, um Ihre Computer vor RDP-basierten Angriffen zu schützen.
| Empfehlung für die Sicherung von RDP | Grund |
|---|---|
| 1. Verbieten Sie externe Verbindungen zu lokalen Computern an Port 3389 (TCP/UDP) an der Perimeter Firewall.* | Blockiert den RDP-Zugriff aus dem Internet. |
| 2., Testen und Bereitstellen von Patches für die Sicherheitsanfälligkeit CVE-2019-0708 (BlueKeep) und aktivieren Sie die Authentifizierung auf Netzwerkebene so schnell wie möglich. | Die Installation des Microsoft-Patches und die Einhaltung der vorgeschriebenen Richtlinien tragen dazu bei, dass Geräte vor der BlueKeep-Sicherheitsanfälligkeit geschützt sind. |
| 3. Für alle Konten, die über RDP angemeldet werden können, sind komplexe Kennwörter erforderlich (eine lange Passphrase mit mehr als 15 Zeichen ohne geschäfts -, Produkt-oder benutzerbezogene Ausdrücke ist obligatorisch). | Schützt vor Passwort-raten und credential-stuffing-Angriffe., Es ist unglaublich einfach, diese zu automatisieren, und die Erhöhung der Länge eines Passworts macht sie exponentiell widerstandsfähiger gegen solche Angriffe. |
| 4. Installieren Sie die Zwei-Faktor-Authentifizierung (2FA) und benötigen Sie sie mindestens für alle Konten, die über RDP angemeldet werden können. | Erfordert eine zweite Authentifizierungsschicht, die nur Mitarbeitern über Mobiltelefon, Token oder einen anderen Mechanismus zur Anmeldung an Computern zur Verfügung steht. |
| 5. Installieren Sie ein VPN-Gateway (Virtual Private Network), um alle RDP-Verbindungen von außerhalb Ihres lokalen Netzwerks zu übertragen., | Verhindert RDP-Verbindungen zwischen dem Internet und Ihrem lokalen Netzwerk. Ermöglicht es Ihnen, stärkere Identifizierungs-und Authentifizierungsanforderungen für den Fernzugriff auf Computer zu erzwingen. |
| 6. Passwort-Schutz von endpoint-security-software mit einem starken Passwort unabhängig von Administrator-und Dienstkonten. | Bietet eine zusätzliche Schutzschicht, falls ein Angreifer Administratorzugriff auf Ihr Netzwerk erhält. |
| 7. Aktivieren Ausbeutung Sperrung in endpoint-security-software., | Viele Endpunktsicherheitsprogramme können auch Ausnutzungstechniken blockieren. Stellen Sie sicher, dass diese Funktionalität aktiviert ist. |
| 8. Isolieren Sie jeden unsicheren Computer, auf den über RDP über das Internet zugegriffen werden muss. | Implementieren Sie die Netzwerkisolierung, um anfällige Computer vom Rest des Netzwerks zu blockieren. |
| 9. Ersetzen Sie unsichere Computer. | Wenn ein Computer nicht gegen die BlueKeep-Sicherheitsanfälligkeit gepatcht werden kann, planen Sie den rechtzeitigen Austausch. |
| 10. Erwägen Sie die Einrichtung einer GeoIP-Blockierung am VPN Gateway., | Wenn sich Mitarbeiter und Anbieter im selben Land oder in einer kurzen Liste von Ländern befinden, sollten Sie den Zugriff aus anderen Ländern blockieren, um Verbindungen ausländischer Angreifer zu verhindern. |
*Standardmäßig arbeitet RDP auf Port 3389. Wenn Sie diesen Port auf einen anderen Wert geändert haben, sollte dieser Port blockiert werden.
Diese Tabelle basiert lose auf der Reihenfolge der Wichtigkeit und der einfachen Implementierung, die jedoch je nach Organisation variieren kann., Einige davon gelten möglicherweise nicht für Ihre Organisation, oder es ist praktischer, sie in einer anderen Reihenfolge auszuführen, oder es gibt zusätzliche Schritte, die Ihre Organisation ausführen muss.
Sie sollten sicherstellen, dass Ihre Endpoint Security-Software die BlueKeep-Sicherheitsanfälligkeit erkennt. BlueKeep wird als RDP/Exploit erkannt.CVE-2019-0708 von ESETs Network Attack Protection Module, einer Erweiterung der Firewall-Technologie von ESET, die in ESET Internet Security und ESET Smart Security Premium für Verbraucher enthalten ist, sowie von ESETs Endpoint Protection-Programmen für Unternehmen.,
Abbildung 2. ESET Antimalware-Technologie erklärt: Network Attack Protection
Es sollte jedoch beachtet werden, dass es Szenarien gibt, in denen eine Erkennung möglicherweise nicht auftritt, z. B. wenn der Exploit das System zuerst abstürzt, weil es unzuverlässig ist. Damit es effektiver ist, müsste es mit einem anderen Exploit gepaart werden, z. B. einer Sicherheitslücke bei der Offenlegung von Informationen, die Kernel-Speicheradressen aufdeckt, damit sie nicht mehr erraten werden müssen., Dies könnte die Anzahl der Abstürze reduzieren, da der aktuelle Exploit einen so großen Heap-Vorgang ausführt.
Wenn Sie Sicherheitssoftware eines anderen Anbieters verwenden, überprüfen Sie diese, ob und wie BlueKeep erkannt wird.
Beachten Sie, dass diese Schritte nur den Anfang dessen darstellen, was Sie zum Schutz vor RDP-Angriffen tun können. Die Erkennung von Angriffen ist zwar ein guter Anfang, ersetzt jedoch nicht das Patchen oder Ersetzen anfälliger Computer. Ihr Informationssicherheitspersonal und vertrauenswürdige Sicherheitspartner können Ihnen zusätzliche, auf Ihre Umgebung zugeschnittene Anleitungen zur Verfügung stellen.,
Verwenden von ESETs BlueKeep (CVE-2019-0708) Vulnerability Checker
ESET hat ein kostenloses BlueKeep (CVE-2019-0708) – Tool veröffentlicht, um zu überprüfen, ob ein Computer unter Windows anfällig für Ausbeutung ist. Zum Zeitpunkt der Veröffentlichung kann das Tool heruntergeladen werden von:
(Überprüfen Sie unbedingt die ESET-Seite für Tools und Dienstprogramme auf neuere Versionen)
Dieses Programm wurde vor und nach der Anwendung von Microsoft-Updates für BlueKeep mit 32-Bit-und 64-Bit-Versionen von Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2 getestet., Um das Programm zu verwenden, führen Sie die ausführbare Datei aus. Es gibt keine Befehlszeilenargumente für die Verwendung mit der ersten Version.
Wenn das Programm ausgeführt wird, meldet es, ob das System anfällig für Ausbeutung ist, ob das System gegen Ausbeutung gepatcht ist oder ob das System nicht anfällig für BlueKeep-Ausbeutung ist. Falls das System anfällig ist, führt das Tool den Benutzer zur Webseite, um den entsprechenden Patch auf die Microsoft-Website herunterzuladen.,
Dies ist zwar ein Einzelzweck-Tool für den persönlichen Gebrauch und ist nicht für den Masseneinsatz in einer automatisierten Umgebung eingesetzt werden soll,hat es begrenzte Fehlerberichterstattung. Für die Skripterstellung gibt das Tool eine FEHLERSTUFE von Null zurück, wenn das System geschützt ist, und eine, wenn es anfällig ist oder ein Fehler aufgetreten ist.
Abbildung 3. Beispiel für das Ausführen des Tools auf nicht gepatchten Windows 7-Systemen
Abbildung 4., Beispiel für das Ausführen des Tools auf gepatchten Windows 7-Systemen
Abbildung 5. Beispiel für das Ausführen des Tools auf einem nicht anfälligen Windows 10-System
Letzte Gedanken und zusätzliche Lektüre
Während die Nutzung von BlueKeep möglicherweise nie weit verbreitet ist, bedeutet die Einbeziehung in Pentesting-Tools, dass es ein fester Bestandteil von internen Sicherheitstests wird. Die wirkliche Lösung zur Verhinderung der Ausnutzung von BlueKeep besteht also darin, anfällige Geräte aus dem Netzwerk Ihres Unternehmens zu entfernen.,
Dies ist jedoch möglicherweise nicht immer möglich, da ein anfälliges Gerät aufgrund von Kosten oder aus anderen Gründen eine kritische Rolle im Geschäft einnimmt. Wir haben uns seit langem für einen mehrschichtigen Sicherheitsansatz ausgesprochen, und der Schutz vor BlueKeep ist keine Ausnahme. Tatsächlich können einige der oben beschriebenen Schritte, z. B. die Installation einer 2FA-Anwendung wie ESET Secure Authentication, dazu beitragen, Ihre Netzwerke auch vor Eindringlingen und anderen Bedrohungen zu schützen.
Weitere Informationen zu RDP und BlueKeep finden Sie unter:
- CSO Online., Microsoft fordert Windows-Kunden auf, Wormable RDP-Fehler zu patchen. Mai 2019)
- Beschreibung des Sicherheitsupdates für die Sicherheitsanfälligkeit bei der Remotecodeausführung in Windows XP SP3, Windows Server 2003 SP2, Windows Server 2003 SP2 R2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 und Windows Embedded Standard 2009. Juni 2019)
- Kundenberatung für CVE-2019-0708 | Remotedesktopdienste Sicherheitsanfälligkeit bei der Ausführung von Remotecode: Mai 14, 2019., (14.05.2019)
- CVE-2019-0708 | Remotedesktopdienste Sicherheitsanfälligkeit bei der Ausführung von Remotecode. Mai 2019)
- Konfigurieren Sie die Authentifizierung auf Netzwerkebene für Verbindungen zu Remotedesktopdiensten. (13. Juni 2013)
- CVE-2019-0708. (undatiert)
- NSA-Cybersecurity Advisory: Patch Remote Desktop Services auf Legacy-Versionen von Windows. (4. Juni 2019)
- Ein Update zur Microsoft Windows RDP-Sicherheitsanfälligkeit „BlueKeep“ (CVE-2019-0708) . (22 Mai 2019)
- US-ZERTIFIKAT, Technischer Alarm AA19-168A: Microsoft Operating Systems BlueKeep Vulnerability., Juni 2019)
- Erste BlueKeep-Angriffe fordern neue Warnungen auf. November 2019)
- Microsoft warnt vor neuen BlueKeep-ähnlichen Fehlern. (15 August 2019)
- BlueKeep-patching ist nicht schnell genug voran. (17 Juli 2019)
- Die NSA tritt dem Chor bei und fordert Windows-Benutzer auf, „BlueKeep“ zu patchen. (6. Juni 2019)
- Jetzt patchen! Warum die BlueKeep-Sicherheitsanfälligkeit eine große Sache ist. (22 Mai 2019)
- Intensive Scan-Aktivität für BlueKeep RDP Fehler erkannt. (26. Mai 2019)
Besonderer Dank geht an meine Kollegen Alexis Dorais-Joncas, Bruce P. Burrell, Michael F., Nick FitzGerald, Branislav O., Matúš P., Peter R., Peter Stančík, Štefan S., und die anderen Kollegen von ESET für Ihre Hilfe bei diesem Artikel.
MITRE ATT&CK>
| Tactic | ID | Name | Beschreibung |
|---|---|---|---|
| Initial Access | T1076 | Remote Desktop Protocol | BlueKeep nutzt eine Schwachstelle im Remote Desktop Protocol., |
| T1133 | External Remote Services | BlueKeep exploits public-facing RDP servers on the Internet. | |
| Command and Control | T1071 | Standard Application Layer Protocol | BlueKeep uses port 3389 by default for command and control. |
| T1043 | Commonly Used Port | BlueKeep uses port 3389 by default for attack targeting. | |
| Lateral Movement | T1210 | Exploitation of Remote Services | BlueKeep exploits public-facing RDP servers on the Internet., |
| Mitigation | M1035 | Beschränken Sie den Zugriff auf Ressourcen über das Netzwerk | Verhindern Sie das Eindringen von BlueKeep in das VPN-Gateway. |
| M1050 | Exploit Schutz | Verhindern BlueKeep eindringen durch verwendung von exploit schutz in endpoint sicherheit. | |
| M1032 | Multi-Faktor-Authentifizierung | Verwenden Sie MFA für alle über RDP durchgeführten Anmeldungen. | |
| M1031 | Netzwerk Intrusion Prevention | Verhindern BlueKeep eindringen durch verwendung von netzwerk schutz in endpoint sicherheit., | |
| M1051 | Update Software | Verhindern BlueKeep ausbeutung durch installieren von CVE-2019-0708 patch oder upgrade auf nicht-anfällig betriebssystem version. | |
| M1049 | Antivirus/Antimalware | Verhindern Sie, dass BlueKeep-Angriffscode mithilfe von Endpoint Security ausgeführt wird. |
Verwenden Sie immer noch Computer, die für BlueKeep anfällig sind? Hat ESETs BlueKeep (CVE-2019-0708) Vulnerability Checker geholfen? Wenn ja, welche Schritte haben Sie unternommen, um die Ausbeutung zu mildern? Lassen Sie es uns unten wissen!,