Como baixar e instalar o patch 2019-cve-0708 para Windows
Se você estiver usando o Windows Remote Desktop Protocol (RDP) em seu sistema, poderá estar vulnerável a uma falha crítica de segurança que pode permitir que invasores remotos executem código arbitrário em sua máquina. Essa falha, conhecida como 2019-cve-0708 ou BlueKeep, afeta versões mais antigas do Windows que não são mais suportadas pela Microsoft, bem como algumas versões mais recentes que ainda não foram corrigidas. Neste artigo, explicaremos o que é 2019-cve-0708, por que é importante, como verificar se seu sistema está vulnerável, como baixar e instalar o patch e como proteger seu sistema de futuras explorações de RDP.
O que é 2019-cve-0708 e por que é importante?
2019-cve-0708 é uma vulnerabilidade de segurança que foi descoberta na implementação do Remote Desktop Protocol (RDP) da Microsoft, que permite a possibilidade de execução remota de código. O RDP é um recurso que permite aos usuários acessar e controlar remotamente outro computador em uma rede. No entanto, se um invasor puder explorar essa vulnerabilidade, poderá enviar solicitações especialmente criadas para o sistema de destino e executar código mal-intencionado sem exigir autenticação ou interação do usuário. Isso pode resultar em roubo de dados, infecção por ransomware, comprometimento da rede ou outras consequências graves.
2019-cve-0708 patch download
Uma vulnerabilidade crítica de execução remota de código no RDP
A vulnerabilidade existe na forma como o RDP lida com solicitações de conexão. Especificamente, há uma falha no componente Remote Desktop Services que processa essas solicitações e aloca memória para elas. Um invasor pode explorar essa falha enviando pacotes malformados que acionam um erro de corrupção de memória e permitem a execução de código arbitrário no contexto do serviço RDP. Esse código pode executar qualquer ação à qual o serviço RDP tenha acesso, como instalar malware, criar novas contas, modificar as configurações do sistema ou excluir arquivos.
Uma ameaça potencial semelhante ao WannaCry
Um dos aspectos mais perigosos dessa vulnerabilidade é que ela é "transmissível a worms", o que significa que pode ser usada para criar malware autopropagado que pode se espalhar de um sistema vulnerável para outro sem qualquer intervenção do usuário. Isso é semelhante a como o infame ransomware WannaCry explorou outra vulnerabilidade RDP (CVE-2017-0144) em 2017 e infectou milhões de computadores em todo o mundo. Se um malware baseado em worm alavancasse 2019-cve-0708, poderia causar danos generalizados e interrupções em toda a Internet.
Um problema de alto risco para versões do Windows sem suporte
Outro fator que torna essa vulnerabilidade particularmente séria é que ela afeta versões mais antigas do Windows que não recebem mais suporte principal da Microsoft. Isso significa que essas versões não recebem atualizações de segurança regulares e são mais propensas a serem expostas a exploits. As versões afetadas incluem Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008. A Microsoft abriu uma exceção para essa vulnerabilidade e lançou patches para essas versões sem suporte, mas muitos usuários podem não estar cientes deles ou ter dificuldade em instalá-los. Portanto, é crucial que os usuários dessas versões baixem e apliquem os patches o mais rápido possível.
Como verificar se o seu sistema está vulnerável a 2019-cve-0708
Antes de baixar e instalar o patch, verifique se o seu sistema está realmente vulnerável a 2019-cve-0708. Existem várias maneiras de fazer isso, dependendo de sua preferência e habilidades técnicas. Aqui estão alguns dos métodos que você pode usar:
Use o Microsoft Security Guidance Advisory
A maneira mais fácil de verificar se o seu sistema está vulnerável é usar o Microsoft Security Guidance Advisory oficial, que fornece informações e links para esse problema. Você pode encontrar o comunicado no site do Microsoft Security Response Center ou pesquisando por "2019-0708" no site de suporte da Microsoft.O comunicado informará quais versões do Windows foram afetadas, quais patches estão disponíveis e como obtê-los. Você também pode usar o comunicado para verificar se o seu sistema já foi corrigido comparando as versões de arquivo listadas no comunicado com as do seu sistema.
Use um verificador de vulnerabilidade de terceiros
Outra maneira de verificar se o seu sistema está vulnerável é usar um scanner de vulnerabilidade de terceiros que pode detectar 2019-cve-0708. Existem várias ferramentas disponíveis on-line que podem verificar seu sistema ou rede em busca desse problema, como Nmap, Qualys, Rapid7 ou Tenable. Essas ferramentas também podem fornecer mais detalhes e recomendações sobre como corrigir a vulnerabilidade. No entanto, você deve ter cuidado ao usar essas ferramentas e baixá-las apenas de fontes confiáveis, pois alguns agentes mal-intencionados podem tentar explorar essa vulnerabilidade distribuindo scanners falsos ou infectados.
Use um script do PowerShell
Se você estiver familiarizado com o uso do PowerShell, também poderá usar um script do PowerShell que pode verificar se o seu sistema está vulnerável a 2019-cve-0708. Um desses scripts é o BlueKeep Scanner criado por Robert Graham, um pesquisador de segurança que foi um dos primeiros a descobrir e analisar essa vulnerabilidade. O script pode varrer um único sistema ou um intervalo de endereços IP para 2019-cve-0708 e relatar os resultados em um formato simples. Você pode baixar o script do GitHub ou executá-lo diretamente de um console do PowerShell.
Como baixar o patch 2019-cve-0708 para sua versão do Windows
Depois de confirmar que seu sistema está vulnerável a 2019-cve-0708, você deve baixar o patch para sua versão do Windows o mais rápido possível. Existem diferentes maneiras de baixar o patch, dependendo de sua preferência e configuração do sistema. Aqui estão alguns dos métodos que você pode usar:
Use o Catálogo do Microsoft Update
O Catálogo do Microsoft Update é um site que fornece links diretos para download de atualizações para vários produtos da Microsoft, incluindo o Windows.Você pode usar este site para pesquisar e baixar o patch para 2019-cve-0708 digitando "KB4499175" (para Windows Server 2008), "KB4499180" (para Windows Vista), "KB4500331" (para Windows XP e Windows Server 2003) ou "KB4500705" (para outras versões suportadas) na caixa de pesquisa. Você verá uma lista de resultados com diferentes nomes e tamanhos de arquivos, dependendo da arquitetura do seu sistema (32 bits ou 64 bits). Você deve selecionar e baixar o arquivo que corresponde ao seu tipo de sistema.
Use o serviço de atualização do Windows
O Windows Update Service é um recurso que permite que seu sistema verifique e instale automaticamente atualizações da Microsoft. Você pode usar esse recurso para baixar e instalar o patch para 2019-cve-0708 seguindo estas etapas:
Abra o menu Iniciar e clique em Configurações.
Clique em Atualização e segurança.
Clique em Verificar se há atualizações.
Se houver atualizações disponíveis, elas serão baixadas e instaladas automaticamente.
Se você vir uma mensagem dizendo "Seu dispositivo está atualizado", clique em Exibir histórico de atualizações para ver se o patch para 2019-cve-0708 foi instalado. O patch terá um dos números de KB mencionados acima.
Observe que esse método pode não funcionar para versões sem suporte do Windows, como Windows XP ou Windows Server 2003, pois eles não recebem atualizações por meio do Windows Update Service. Você precisará usar outro método para baixar e instalar o patch para essas versões.
Use os links de download direto
Se preferir baixar o patch diretamente da Microsoft sem usar o Catálogo do Microsoft Update ou o Windows Update Service, você pode usar os links de download direto fornecidos pela Microsoft. Esses links o levarão a uma página da Web onde você pode baixar o patch como um arquivo de instalação independente (.msu ou .exe) que pode ser executado em seu sistema. Você pode encontrar os links de download direto para cada versão do Windows no Microsoft Security Guidance Advisory para 2019-cve-0708 ou clicando nos seguintes links:
Como instalar o patch 2019-cve-0708 em seu sistema
Depois de baixar o patch para sua versão do Windows, você deve instalá-lo em seu sistema o mais rápido possível. O processo de instalação pode variar um pouco, dependendo do método usado para baixar o patch e do tipo de arquivo baixado. Aqui estão algumas etapas gerais a serem seguidas:
Siga as instruções de instalação
Se você baixou o patch como um arquivo de instalação independente (.msu ou .exe), clique duas vezes no arquivo para executá-lo e siga as instruções na tela. Pode ser necessário aceitar um contrato de licença, escolher um local de instalação e confirmar sua escolha. O processo de instalação pode demorar alguns minutos, dependendo da velocidade e configuração do seu sistema.
Reinicie seu sistema
Após a conclusão da instalação, pode ser necessário reiniciar o sistema para que as alterações entrem em vigor. Você deve salvar todos os arquivos abertos e fechar todos os programas em execução antes de reiniciar o sistema. Você pode ver uma mensagem solicitando que reinicie o sistema ou uma contagem regressiva indicando quando o sistema será reiniciado automaticamente. Você deve seguir as instruções e reiniciar o sistema o mais rápido possível.
Verifique o status da instalação
Após a reinicialização do sistema, verifique se o patch foi instalado com êxito e se o sistema não está mais vulnerável a 2019-cve-0708. Você pode fazer isso usando um dos métodos mencionados acima para verificar se o seu sistema está vulnerável, como usar o Microsoft Security Guidance Advisory, um verificador de vulnerabilidade de terceiros ou um script do PowerShell. Se seu sistema não estiver mais vulnerável, você verá uma mensagem indicando que seu sistema está protegido ou que nenhuma vulnerabilidade foi encontrada. Se o seu sistema ainda estiver vulnerável, pode ser necessário repetir o processo de instalação ou entrar em contato com a Microsoft para obter mais assistência.
Como proteger seu sistema de futuras explorações de RDP
A instalação do patch para 2019-cve-0708 é uma etapa essencial para proteger seu sistema contra essa vulnerabilidade específica, mas pode não ser suficiente para impedir futuras explorações de RDP. O RDP é um recurso poderoso que também pode ser um vetor de ataque em potencial para hackers que desejam acessar e controlar seu sistema remotamente. Portanto, você deve tomar algumas medidas adicionais para proteger suas configurações de RDP e reduzir sua exposição a ataques de RDP. Aqui estão algumas das melhores práticas que você deve seguir:
Habilitar autenticação em nível de rede (NLA)
Network Level Authentication (NLA) é um recurso de segurança que exige que os usuários se autentiquem antes de estabelecer uma sessão RDP. Isso pode impedir que usuários não autorizados acessem seu sistema ou explorem vulnerabilidades RDP que não requerem autenticação. O NLA é habilitado por padrão em versões mais recentes do Windows, mas pode não estar habilitado em versões mais antigas ou em sistemas que foram configurados de forma diferente. Você pode ativar o NLA seguindo estas etapas:
Abra o Painel de Controle e clique em Sistema e Segurança.
Clique em Sistema e depois em Configurações remotas.
Em Área de Trabalho Remota, selecione Permitir conexões somente de computadores executando Área de Trabalho Remota com Autenticação em Nível de Rede.
Clique em OK e feche o Painel de controle.
Mova o ouvinte RDP para trás de uma autenticação de segundo fator
Uma autenticação de segundo fator (2FA) é um recurso de segurança que exige que os usuários forneçam uma informação adicional ou verificação após inserir seu nome de usuário e senha. Isso pode impedir que hackers acessem seu sistema, mesmo que tenham roubado ou adivinhado suas credenciais. O 2FA pode ser implementado usando vários métodos, como códigos SMS, códigos de e-mail, chamadas telefônicas, biometria ou tokens de hardware. Você pode mover o ouvinte RDP para um 2FA usando uma solução de terceiros, como Duo Security, RSA SecurID ou Google Authenticator.Você precisará instalar e configurar a solução em seu sistema e em seu dispositivo que fornece o segundo fator.
Mantenha seu sistema atualizado e seguro
A coisa mais importante que você pode fazer para proteger seu sistema de futuras explorações de RDP é mantê-lo atualizado e seguro. Isso significa que você deve verificar e instalar regularmente quaisquer atualizações ou patches de segurança que a Microsoft lança para sua versão do Windows. Você também deve usar um software antivírus e um firewall confiáveis para evitar infecções por malware e bloquear conexões de rede não autorizadas. Você também deve evitar abrir links ou anexos suspeitos, baixar arquivos não confiáveis ou visitar sites maliciosos que possam conter explorações de RDP ou outras ameaças.
Conclusão
2019-cve-0708 é uma vulnerabilidade de segurança grave que afeta o Windows Remote Desktop Protocol (RDP) e pode permitir que invasores remotos executem código arbitrário em seu sistema. Você deve baixar e instalar o patch para esta vulnerabilidade o mais rápido possível, bem como tomar algumas medidas adicionais para proteger suas configurações de RDP e reduzir sua exposição a ataques de RDP. Seguindo as instruções e práticas recomendadas neste artigo, você pode proteger seu sistema contra 2019-cve-0708 e outras explorações de RDP.
perguntas frequentes
Aqui estão algumas das perguntas frequentes sobre 2019-cve-0708 e segurança RDP:
P: Como sei se fui comprometido por 2019-cve-0708?
R: Pode ser difícil dizer se você foi comprometido por 2019-cve-0708, pois o exploit não deixa rastros óbvios em seu sistema. No entanto, alguns sinais que podem indicar um comprometimento incluem comportamento incomum do sistema, como desempenho lento, falhas ou erros, alterações inesperadas nas configurações ou arquivos do sistema ou evidência de infecção por malware, como mensagens de ransomware ou pop-ups.Se você suspeitar que foi comprometido, desconecte seu sistema da rede, verifique-o com um software antivírus e entre em contato com um profissional de segurança para obter mais assistência.
P: Como desabilito o RDP no meu sistema?
R: Se você não usa o RDP em seu sistema ou não precisa dele por qualquer motivo, pode desativá-lo para evitar possíveis explorações do RDP. Você pode desativar o RDP seguindo estas etapas:
Abra o Painel de Controle e clique em Sistema e Segurança.
Clique em Sistema e depois em Configurações remotas.
Em Área de trabalho remota, selecione Não permitir conexões remotas com este computador.
Clique em OK e feche o Painel de controle.
P: Como altero a porta padrão para RDP?
R: Por padrão, o RDP usa a porta 3389 para se comunicar com outros sistemas na rede. No entanto, você pode alterar essa porta para um número diferente para tornar mais difícil para os invasores encontrar e explorar seu serviço RDP. Você pode alterar a porta padrão para RDP seguindo estas etapas:
Abra o Editor do Registro digitando regedit no menu Iniciar e pressionando Enter.
Navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
Clique duas vezes em PortNumber e altere os dados do valor para o novo número de porta que deseja usar. Você pode usar qualquer número entre 1024 e 65535, mas certifique-se de que não seja usado por outro serviço ou aplicativo.
Clique em OK e feche o Editor do Registro.
Reinicie o sistema para que as alterações entrem em vigor.
P: Como faço para limitar o acesso ao RDP no meu sistema?
R: Se você precisa usar o RDP em seu sistema, mas deseja limitar quem pode acessá-lo, pode definir algumas configurações para restringir o acesso ao RDP em seu sistema. Você pode limitar o acesso ao RDP seguindo estas etapas:
Abra o Painel de Controle e clique em Sistema e Segurança.
Clique em Sistema e depois em Configurações remotas.
Em Área de Trabalho Remota, selecione Permitir conexões somente de computadores executando Área de Trabalho Remota com Autenticação em Nível de Rede.
Clique em Selecionar usuários e adicione ou remova os usuários ou grupos que você deseja permitir ou negar acesso ao RDP em seu sistema.
Clique em OK e feche o Painel de controle.
P: Como faço para monitorar a atividade no RDP no meu sistema?
R: Se você deseja monitorar a atividade no RDP em seu sistema, pode usar algumas ferramentas e configurações para rastrear e auditar as sessões e eventos RDP em seu sistema. Você pode monitorar a atividade no RDP seguindo estas etapas:
Abra o Visualizador de eventos digitando eventvwr no menu Iniciar e pressionando Enter.
Navegue até Applications and Services Logs\Microsoft\Windows\TerminalServices-LocalSessionManager\Operational.
Aqui você verá uma lista de eventos relacionados às sessões RDP, como conexão, desconexão, reconexão, logon, logoff, etc. Você pode clicar duas vezes em qualquer evento para ver mais detalhes, como data e hora, nome do usuário, endereço IP de origem, ID da sessão, etc.
Você também pode filtrar, classificar ou exportar os eventos usando as opções no painel direito ou na barra de menus.
Se você deseja habilitar um log mais detalhado para eventos RDP, pode alterar as configurações do registro seguindo estas etapas:
Abra o Editor do Registro digitando regedit no menu Iniciar e pressionando Enter.
Navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.
Crie um novo valor DWORD chamado AuditTrailLevel e defina seus dados de valor como 1 para registro básico ou 2 para registro detalhado.
Clique em OK e feche o Editor do Registro.
Reinicie o sistema para que as alterações entrem em vigor.
0517a86e26
Comentários