Siber güvenlik araştırmacıları, savunmasız bilgisayarları kripto para madenciliği için kullanmaya yönelik bir siber saldırıdan bahsediyorlar. İlginç olan ise, bu saldırının bir virüsle değil, ilk kez bir sistem açığını kullanılarak kitlesel büyüklükte yapıldığı düşünülüyor. Bu açık, Microsoft’un BlueKeep RDP kırılganlığını kullanıyor [1].
Açık için mayıs ayında Microsoft yama yayınlamıştı [2]. Windows Uzaktan Masaüstü Hizmetlerinde (Remote Desktop Protocol – CVE-2019-0708) bulunan açık BlueKeep olarak adlandırılıyor. RDP üzerinden özel hazırlanmış istekler göndererek savunmasız sistemleri ele geçirmeyi ve uzaktan kullanmayı hedefliyor.
BlueKeep, keşfedilmesinden bu yana ciddi bir tehdit olarak tanımlandı ve yamanın güncellenmesi için sürekli uyarılar yapıldı [1][2][3]. Ancak aradan geçen 6 aya rağmen güncellenmemiş çok sayıda bilgisayar olduğu biliniyor.
huh, the EternalPot RDP honeypots have all started BSOD’ing recently. They only expose port 3389. pic.twitter.com/VdiKoqAwkr
— Kevin Beaumont (@GossiTheDog) November 2, 2019
Kötücül kodun kendi kendine yayılma özelliği içermediği, bunun yerine bilinmeyen saldırganların önce interneti, savunmasız sistemleri bulmak ve sonra onları kullanmak için taradığı anlaşılıyor.
Bu Saldırıdan Nasıl Korunursunuz?
Hala BlueKeep güvenlik açığı bulunan Windows sistemlerini kullanıyorsanız, öncelikle yamayı derhal yükleyin [2].
Eğer bu mümkün değilse, şunları yapabilirsiniz;
- Gerekmiyorsa, RDP hizmetlerini devre dışı bırakın.
- Bir güvenlik duvarı kullanarak 3389 numaralı bağlantı noktasını engelleyin veya yalnızca özel bir VPN üzerinden erişilebilir olmasını sağlayın.
- Ağ Düzeyi Kimlik Doğrulamasını Etkinleştir im(NLA) – bu, kimliği doğrulanmayan herhangi bir saldırganın bu Enable kusurundan yararlanmasını önler.
[1] BlueKeep Tehlikesi Gerçek, Önlem Almayan Büyük Risk Altında
[2] CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability
[3] A Reminder to Update Your Systems to Prevent a Worm
[4] PATCH REMOTE DESKTOP SERVICES ON LEGACY
VERSIONS OF WINDOWS®