이는 최근 패치된 것과 관련된 중요한 보안 권고입니다. 결정적인 Microsoft Windows 원격 데스크톱 서비스(RDP)의 원격 코드 실행 취약점. 이 취약점은 다음과 같이 식별됩니다. “CVE-2019-0708 – 원격 데스크톱 서비스 원격 코드 실행 취약점”.
MSRC 블로그 언급하다
이 취약점은 사전 인증이므로 사용자 상호 작용이 필요하지 않습니다. 즉, 취약점은 '웜이 가능하다'는 의미입니다. 이 취약점을 악용하는 미래의 맬웨어는 2017년에 전 세계적으로 퍼진 WannaCry 맬웨어와 유사한 방식으로 취약한 컴퓨터에서 다른 취약한 컴퓨터로 확산될 수 있습니다. 아직 이 취약점을 악용한 사례는 관찰되지 않았지만 악의적인 행위자가 이 취약점을 악용한 악성 프로그램을 작성하여 맬웨어에 통합할 가능성이 높습니다.
이 취약점은 Microsoft가 Windows 2003 및 Windows XP에서도 이 취약점을 패치하기 위해 노력했기 때문에 특별한 경우입니다. 지원 종료 꽤 오래 전이에요.
이 취약점이 왜 그렇게 중요한가요?
- 사전 인증 취약점으로, 인증이 필요하지 않습니다. 공격자는 취약한 대상의 네트워크 접근 권한만 있으면 이를 악용할 수 있습니다.
- 공격이 성공하면 공격자는 대상 시스템에서 임의의 코드를 실행하고 결국에는 대상 시스템을 완전히 제어할 수 있습니다.
- 주어진 '벌레가 생길 수 있는' 이 취약점의 특성상 호스트가 감염되면 같은 네트워크에 있는 다른 취약한 호스트도 매우 빠르게 감염될 수 있습니다.
- Microsoft는 이미 지원이 종료된 이전 Windows 버전에 패치를 제공하기 위해 많은 노력을 기울였습니다.
- 취약점은 다음을 통해 악용될 수 있습니다. RDP 포트 3389. 간단한 검색 www[.]쇼단[.]io 인터넷에 RDP 포트가 열려 있는 호스트가 약 4만 개에 달한다는 것을 보여줍니다.
그림 1 – 인터넷에 RDP 포트가 열려 있는 호스트를 보여주는 Shodan 결과
당신은 무엇을해야합니까?
당 Microsoft 권고 및 기타 온라인 소스에서 이 취약점은 않습니다. 이 블로그 게시 시점에는 활발하게 악용되고 있었습니다. 하지만 비즈니스 위험을 고려하여, 다음과 같은 영향을 받는 Windows 버전을 사용 중이시라면 즉시 시스템에 패치를 적용하시기를 권장합니다.
– 마이크로소프트 윈도우 7 SP1
– 윈도우 서버 2008 SP2
– 윈도우 서버 2008 R2 – SP1
– Windows XP(모든 버전)
– 윈도우 서버 2003 SP2
Microsoft에서 제공하는 보안 업데이트를 즉시 적용할 수 없는 경우 공식 패치가 적용될 때까지 취약한 호스트에서 원격 데스크톱 서비스를 비활성화하는 것을 고려해야 합니다.
저희 위협 연구팀에서는 이 위협을 적극적으로 모니터링하고 있으며, 이 게시물을 그에 따라 지속적으로 업데이트할 예정입니다.
콘텐츠 제공:
파반 토랏 보안 연구소
