June 19, 2019

Language:

CamSA19-27: សូមអាប់ដេត Windows របស់អ្នកជាបន្ទាន់ ដើម្បីការពារពីការវាយប្រហារ BlueKeep

១. ព័ត៌មានទូទៅ

កាលពីពេលថ្មីៗនេះ ក្រុមហ៊ុនម៉ៃក្រូសូហ្វបានចេញផ្សាយសេចក្តីណែនាំដោយធ្វើការសង្កត់ធ្ងន់អំពីសារៈសំខាន់នៃការជួសជុលកំហុសឆ្គងទៅលើចំនុចខ្សោយដែលមាននៅក្នុង​ protocol​ ដែលប្រើប្រាស់នៅក្នុងប្រព័ន្ធប្រតិបត្តិការ Windows ជំនាន់ចាស់។ ម៉ៃក្រូសូហ្វបានធ្វើការព្រមានថា ចំនុចខ្សោយនេះគឺអាចមានលទ្ធភាពក្នុងការរីករាលដាលយ៉ាងធំធេង ដែលមានន័យថាវាអាចរីកសាយភាយដោយឯកឯងតាមអ៊ិនធឺណិត ដោយមិនចាំបាច់ត្រូវការអ្នកប្រើប្រាស់ចុចអ្វីនោះឡើយ។ យើងទាំងអស់គ្នាធ្លាប់មានបទពិសោធន៍ម្តងរួចទៅហើយ នៃការរីករាលដាលរបស់មេរោគ Wannacry​។

ចំនុចខ្សោយនេះត្រូវបានចាត់ចំណាត់ថ្នាក់ធ្ងន់ធ្ងរបំផុត ដែលមានលេខកូដសំគាល់ CVE-2019-0708 ហើយមានឈ្មោះថា “BlueKeep”។ វាគឺជាចំនុចខ្សោយដែលមាននៅក្នុង Remote Dekstop Protocol (RDP) ដែលនឹងប៉ៈពាល់ទៅដល់ Windows 7, Windows Server 2008 R2, and Windows Server 2008 និង Windows 2003 and Windows XP។ ទោះបីជាក្រុមហុ៊នម៉ៃក្រូសូហ្វបានចេញនូវការជួសជុលវារួចទៅហើយនោះ នៅមានម៉ាស៊ីនរាប់សិបលានគ្រឿងទៀតកំពុងរងគ្រោះនៅឡើយ។

២. ផលវិបាក

ការវាយលុកដោយជោគជ័យទៅលើចំនុចខ្សោយនេះ គឺអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការគ្រប់គ្រងទាំងស្រុងទៅលើម៉ាស៊ីន រួចធ្វើសកម្មភាពផ្សេងៗជាមួយនឹងសិទ្ធិពេញលេញតែម្តង។

៣. អនុសាសន៍

ការិយាល័យឆ្លើយតបបញ្ហាបន្ទាន់នៃកុំព្យូទ័រ (CamCERT) សូមផ្តល់អនុសាសន៍ដល់អភិបាលគ្រប់គ្រង និងអ្នកប្រើប្រាស់ធ្វើការអាប់ដេតជាបន្ទាន់៖

ក្នុងកំឡុងពេលដែលអ្នកកំពុងធ្វើការអាប់ដេត និងជួសជុលចំនុចខ្សោយនេះ ខាងក្រោមគឺជាកត្តាមួយចំនួនដែលអ្នកយកមកអនុវត្តន៍៖

  • បិទ TCP Port 3389 នៅលើជញ្ជាំងភ្លើង (firewall) របស់អ្នក ជាពិសេសគឺនៅរាល់ firewalls ទាំងឡាយណាដែលនៅដំណើរការផ្ទាល់ជាមួយនឹងអ៊ិនធឺណិត
  • បើកនូវមុខងារ  Network Level Authentication​ ដែលទាមទារឱ្យអ្នកវាយប្រហារមាននូវព័ត៌មាន (username/password) ដើម្បីដំណើរការនូវ remote code authentication
  • បិទមុខងារ Remote Desktop Services ក្នុងករណីមិនត្រូវការ។ បិទនូវ services ដែលមិនប្រើប្រាស់ ដើម្បីកាត់បន្ថយការប្រឈមមុខទៅនឹងបញ្ហាផ្សេងៗជាយថាហេតុ។

៤.ព័ត៌មានពាក់ព័ន្ធ

  • https://www.us-cert.gov/ncas/current-activity/2019/05/16/Microsoft-Releases-Security-Updates-Address-Remote-Code-Execution
  • https://www.csa.gov.sg/singcert/news/advisories-alerts/microsoft-remote-desktop-services-remote-code-execution-vulnerability-cve-2019-0708
  • https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
  • https://www.zdnet.com/article/almost-one-million-windows-systems-vulnerable-to-bluekeep-cve-2019-0708/