Kuigi BlueKeep (CVE-2019-0708) haavatavus ei ole seni tekitanud laiaulatuslikku segadust, me uurime selles postituses ka seda, miks see nii on, siis on see haavatavus alles väga värske nähtus. Paljusid süsteeme ei ole jätkuvalt selle haavatavuse suhtes ära parandatud ja võimalik on jätkuvalt leida täielikult ussistunud versioon. Neil põhjustel on ESET loonud tasuta utiliidi, millega kontrollida oma süsteemi haavatavust.
ESET BlueKeep (CVE-2019-0708) tuvastusvahend
Vahel tuleb rääkida asjadest, millest ei peakski olema tarvis rääkida, parim viis selle postituse alustamiseks on seega mainida, et see ei ole teema, millest arvasin, et tänapäeval pean enam kirjutama. Enne kui süübime teemasse süvitsi, alustagem vanast maksiimist.
Infoturbe valdkonnas on levinud vana ütlus, et kui ründajal on füüsiline ligipääs teie arvutile, siis ei ole see enam teie arvuti. Põhjus selleks on üsna lihtne: kui ründajad on saanud arvutile käed külge panna, siis saavad nad sellega teha, mida iganes soovivad. Arvutisse on võimalik paigaldada seadmed nagu riistvaralised klahvilogijad, saab eemaldada kõvakettaid ja neid kopeerida või muul viisil kustutada, muuta või lisada süsteemi ükskõik mida – kõik see muutub palju lihtsamaks, kui on võimalik arvutile saada otsene ligipääs. See ei ole eriti üllatav ega ka eriti geniaalne mõttevälgatus, tegemist on vältimatu tõega. Ründajate jaoks on tegemist osaga nende töökirjeldusest.
Ettevõtted ja koolid ning üldse kõiksugused organisatsioonid ei ole selle suhtes pimedad. Üheski neist kohtadest ei ole võimalik nende asutuste serverid leida fuajee vastuvõtulauast, vastuvõtualalt, külastajate keskusest, ooteruumist või muust kohast, millele on avalik ligipääs või millele võiks oodatavalt ükskõik milline töötaja, õppejõud, õpilane või personali liige ligi pääseda. Vähemasti ei tee nii ükski ettevõte, mis soovib jätkuvalt tegutseda. Tavapäraselt on serverid muust kontoripinnast eraldatud, olgu tegemist eraldi ruumiga või nurgatagusega, millele enamik personalist ligi ei pääse.
Siiski, hoolimata talupojamõistusest, ei kandu füüsilises maailmas omandatud turbealased teadmised alati hästi (ega õigest) üle internetimaailma. On olemas suur hulk servereid, mis kasutavad Microsoft Windows serveritele loodud operatsioonisüsteeme ning on seejuures ühendatud internetti, olles vaid minimaalselt või üldse mitte kaitstud neile ligi pääseda võivate inimeste eest. See toob meid RDP juurde.
Mis on RDP?
RDP on lühend kaugtöölaua protokollile, see võimaldab ühel arvutil ühenduda võrgu kaudu teise arvutiga, et seda distantsilt kasutada. Windows Client operatsioonisüsteemi, näiteks Windows XP või Windows 10, kasutavatel arvutitel on RDP klienditarkvara operatsioonisüsteemi eelinstalleeritud, võimaldades neil seadmetel ühenduda teiste võrgus olevate arvutitega, sh asutuse serveritega. Ühendus serveriga tähendab sel juhul seda, et see ühendus on võimalik luua otse serveri operatsioonisüsteemiga või operatsioonisüsteemiga, mida käitatakse virtuaalmasinas sellel serveril. Loodud ühenduse kaudu on võimalik avada katalooge, faile alla ja üles laadida nii nagu kasutataks serveriga ühendatud klaviatuuri ja monitori.
RDP loodi aastal 1995 Citrixi poolt ja seda hakati müüma Windows NT 3.51 täiustatud versiooni WinFrame osana. Aastal 1998 lisas Microsoft RDP oma Windows NT 4.0 Terminal Server Edition süsteemi. Sellest ajast saati on see protokoll olnud osa kõigist Microsofti Windows Server operatsioonisüsteemidest, kuid leidnud aastast 2001 rakendust ka kõigis Windows Client operatsioonisüsteemides, mis ei ole olnud mõeldud kodusele kasutajale. Tänapäeval on RDP tavalisteks kasutajaks ka süsteemide administraatorid, kes teostavad serverite kaughaldust oma kontorist ilma, et peaksid minema serveriruumi, kuid ka kaugtöötajad, kes saavad ühenduse luua virtuaalsete arvutitega, mis on ettevõtte domeenis loodud.
Mida ründajad RDP-ga teevad?
Viimase paari aasta jooksul on ESET märganud järjest kasvavat hulka intsidente, kus ründajad on loonud interneti kaudu kaugühenduse Windows Serveriga, kasutades selleks RDP-d ja olles sisse logitud arvuti administraatorina. Kui ründajad on serverisse administraatorina sisse logitud, siis nad tavaliselt teostavad natuke vaatlust, et teha selgeks, mille jaoks serverit kasutatakse, kes seda kasutab ja millal seda kasutatakse.
Kui ründajad on saanud teada, millise serveri üle neil kontroll on, siis hakkavad nad teostama pahatahtlikke tegevusi. Levinud pahatahtlikud tegevused, mida oleme täheldanud, on muuhulgas:
- ründajate süsteemis viibimist tõendavate logifailide tühjendamine;
- planeeritud tagavarakoopiate ja varjukoopiate väljalülitamine;
- turbetarkvara väljalülitamine või sellele erandite loomine (mis on administraatorite jaoks lubatud);
- erinevate programmide serverisse allalaadimine ja installeerimine;
- vanade tagavarakoopiate kustutamine või ülekirjutamine, kui need on kättesaadavad;
- andmete edastamine serverist välja
See ei ole täielik nimekiri kõigist tegevustest, mida ründaja saab teha, ei ole see ka nimekiri kõigist tegevustest, mida ründaja kindlasti teeb. Ründajad võivad luua ühenduse mitmel korral eri päevadel või ka ainult korra, kui neil on selge plaan. Kuigi ründajate teostatavate tegevuste iseloom on väga erinev, siis kõige tihemini tehakse kaht asja:
- kaevandamisprogrammide paigaldamine krüptoraha loomiseks, näiteks Monero;
- lunavara installeerimine selleks, et ettevõttelt raha välja pressida, tihti küsitakse lunaraha krüptovahendites, nt bitcoinina.
Mõnel juhul võivad ründajad paigaldada kompromiteeritud serverisse täiendavat kaugjuhtimistarkvara selleks, et säilitada ligipääs serverile ka siis, kui nende RDP-ga seotud tegevus avastatakse ja lõpetatakse.
Me ei ole täheldanud ühtegi serverit, mida oleks kasutatud nii Krüptoraha kaevandamiseks kui millega oleks esitatud väljapressimisnõue lunavara abil, kuid me oleme näinud olukordi, kus serverit on rünnanud üks ründaja krüptoraha kaevandamiseks ning selle ründaja on välja vahetanud uus ründaja, kes on saanud endale krüptoraha kaevandamisest teenitud tulu. Paistab, et varaste seas au ei ole .
Teadmised RDP rünnakute kohta on levinud nii laialt, et isegi sextortion petised mainivad seda oma väljapressimiskirjades, et oma pettus tõsiseltvõetavamaks muuta.
Joonis 1: Pilt sextortion e-kirjast, mis mainib RDP-d.
Rohkema teabe saamiseks sellist tüüpi e-kirja teel levivate pettuste kohta soovitan lugeda oma kolleegi Bruce P. Burrell kirjutatud artikleid: osa I, osa II, ja osa III.
Massilised RDP ründed
RDP rakendamisega teostatud rünnete hulk on aeglaselt, kuid järjepidevalt tõusnud ja selle ohvriteks on olnud ka mitmed valitsusasutused, nagu FBI, Ühendkuningriigi NCSC, Kanada CCCS ja Austraalia ACSC, kui mainida vaid mõnd.
Lüüsiväravad avanesid aga siis, kui 2019. aasta mais saabus teave CVE-2019-0708 ehk „BlueKeep“ kohta, mille puhul on tegemist RDP turbehaavatavusega, mis mõjutab operatsioonisüsteeme Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 ja Windows Server 2008 R2. Lauaarvutite puhul ei ole operatsioonisüsteemi Windows 8 ja uuemaid, ning serverite puhul Windows Server 2012 ja uuemaid, kasutavad kasutajad haavatavusest puudutatud.
BlueKeep haavatavus võimaldab ründajatel kasutada ohvrite arvutis suvalist koodijuppi. Kuigi isegi individuaalsed ründajad võiksid olla märkimisväärseks ohuks, sest nad oleksid suutelised kasutama automatiseeritud vahendeid rünnete teostamiseks, siis see haavatavus on lisaks „ussistatav“, mis tähendab seda, et rünne on suuteline levima automaatselt üle võrkude ilma, et kasutajad peaksid selleks kuidagi sekkuma, minevikust on sarnaselt toiminud Win32/Diskcoder.C (ehk NotPetya) ja Conficker ussid.
Ussistatavate haavatavuste ärakasutamine on üldiselt oht, mida tõsiselt võetakse. Microsoft on sellele haavatavusele määranud kõrgeima ohutaseme „kriitiline“ oma klientidele antud juhistes ja USA valitsuse Riiklik Haavatavuste Andmebaas on kirjele CVE-2019-0708 ohuskaalal andnud skoori 9,8 10-st. Microsoft ütleb oma blogipostituses ka seda, et nad tungivalt soovitavad kasutajatel paigaldada ohu vastu loodud parandused, seejuures ka nüüdseks tehnilise toeta operatsioonisüsteemidel nagu Windows XP ja Windows Server 2003. Ussistunud haavatavusest tulenev mure on sedavõrd suur, et juuni alguses andis USA Riiklik Julgeolekuagentuur andis välja harva soovituse paigaldada vea vastu Microsofti poolt loodud parendused.
Septembri algul andis Rapid7, Metasploit turbetestide arendaja, välja teate BlueKeep haavatavuse kohta. Kuigi järgneva paari kuu jooksul ei olnud BlueKeep tegevusega seoses olulist tegevushaarde laienemist, siis hiljuti on olukord muutunud. Novembri algul said avalikuks BlueKeep haavatavusega seotud massilised raportid, mille mainisid ära ka ZDNet ja WIRED ning teised uudisväljaanded. Ründed on väidetavalt olnud vähem kui edukad, sest 91% haavatavatest arvutitest on kokku jooksnud seadme tegevuse lõpetava tõrke (e vea kontroll või sinine surmaekraan) tõttu, kui ründaja üritab BlueKeep haavatavust ära kasutada. Ülejäänud 9% haavatavate arvutite puhul on ründajad edukalt installeerinud Monero krüptokaevandustarkvara. Kuigi tegemist ei ole kardetud ussistunud ründega, siis paistab, et kriminaalne grupeering on kasutamas automatiseeritud haavatust, kuigi mitte väga suure edumääraga.
Kui ma alustasin selle blogipostituse kirjutamist, siis ei olnud mu kavatsus haavatavust detailselt kirjeldada, ühtlasi ei olnud mul kavas koostada aegrida haavatavusega seotud juhtumitest. Eesmärgiks oli anda lugejatele mõista, mida nad peavad tegema enda kaitsmiseks selle ohu eest. Seetõttu heidame pilgu sellele, mis on ära tehtud.
Enda kaitsmine RDP-ga seotud rünnete eest
Seega, mida saad sina ise ära teha? Esimene võimalus, ilmselgelt, on lõpetada oma serveritega RDP kaudu ühenduse loomine üle interneti. See võib mõnede ettevõtete jaoks olla keeruline, sest võib olla pealtnäha tõelisi põhjuseid, miks seda kasutada. Siiski, kuna operatsioonisüsteemidelt Windows Server 2008 ja Windows 7 kaob jaanuaris 2020 Microsofti tugi, siis neid operatsioonisüsteeme käitavad arvutid, mis on interneti kaudu RDP-d kasutades otse ligipääsetavad, kujutavad teie ettevõttele ohtu, mille leevendamisega peaksite juba praegu tegelema.
See ei tähenda, et peate kohe lõpetama RDP kasutamise, kuid peate võtma selle probleemi eemaldamiseks võimalikult kiiresti tarvitusele vajalikud sammud. Sellel eesmärgil oleme loonud tabeli, mis annab ülevaate kümnest peamisest sammust, mis on vajalikud selleks, et hakata oma arvuteid kaitsma RDP-põhiste rünnete eest.
| Soovitused RDP turvamiseks | Põhjus |
|---|---|
| 1. Keelata välised ühendused kohalike masinatega pordi 3389 (TCP/UDP) kaudu välisel tulemüüril.* | Blokeerib RDP ligipääsu internetile. |
| 2. Testige ja rakendage parandusi, mis on loodud CVE-2019-0708 (BlueKeep) haavatavuse vastu ja lubage esimesel võimalusel võrgutaseme autentimine | Microsofti paranduse installeerimine ja nende kirjeldavate juhiste järgimine, et tagada seadmete kaitstus BlueKeep haavatavuse eest. |
| 3. Kõigi kasutajakontode jaoks, millele on võimalik pääseda ligi RDP kaudu kehtestada nõue kasutada keerukaid salasõnasid (pikk pääsuluba, mis sisaldab 15+ tähemärki, kuid ei tohi sisaldada ettevõtte, toote nimedega või kasutajatega seotud fraase). | Kaitseb salasõnade äraarvamise ja mandaadi ärakasutamisega seotud rünnete eest. Salasõna äraarvamist on uskumatult lihtne automatiseerida ja salasõna pikkuse suurendamine muudab nende äraarvamise eksponentsiaalselt keerulisemaks. |
| 4. Installeerige kaheosaline autentimine (2FA) ja nõudke seda minimaalselt kõigi kasutajate puhul, millele on võimalik RDP kaudu sisse logida. | Nõuab teist autentimiskihti, mis on arvutitesse sisselogimiseks kättesaadav ainult töötajatele nende mobiiltelefoni, tokeni või muu mehhanismi kaudu. |
| 5. Paigaldage virtuaalse eravõrgu (VPN) värav, mis käsitleb kõiki RDP ühendusi, mis pärinevad väljastpoolt teie kohalikku võrku. | Takistab RDP-ühendusi interneti ja teie kohaliku võrgu vahel. Võimaldab kehtestada kõrgemad tuvastus- ja autentimisnõuded arvutitele kaugligipääsu saamiseks. |
| 6. Salasõnaga kaitstud tööjaama turbetarkvara, mis kasutab tugevat salasõna, millel puudub seos haldus- ja teeninduskontodega. | Pakub täiendava kaitsekihi puhuks, kui ründaja saab teie võrku administraatorina ligipääsu. |
| 7. Võimaldage haavatavuse blokeerimine tööjaama turbetarkvaras. | Paljud tööjaama turbeprogrammid on suutelised blokeerima ka haavatavuste ärakasutamiseks mõeldud tehnikaid. Veenduge, et see funktsionaalsus on sisse lülitatud. |
| 8. Isoleerige ebaturvaline arvuti, mis vajab RDP kaudu internetti ligipääsemist. | Rakendage võrgus isolatsioon selleks, et blokeerida haavatavate arvutite ligipääs ülejäänud võrgule. |
| 9. Vahetage ebaturvalised arvutid välja. | Kui arvutit ei ole võimalik BlueKeep haavatavuse vastu kaitstuks teha, siis vahetage see peatselt välja. |
| 10.Kaaluge seda, et hakata kasutama geoIP blokeeringut VPN-i väravas. | Kui personal ja edasimüüjad paiknevad samas riigis või ainult paaris riigis, siis kaaluge seda, et kehtestada geograafiline blokeering ligipääsule teistest riikidest, et vältida ühendusi võõramaistelt ründajatelt. |
*Vaikimisi kasutab RDP porti 3389. Olles kasutatavat porti muutnud, siis tuleb just see port blokeerida.
Käesolev tabel ja selle järjestus põhineb laias plaanis lahenduste olulisusel ja rakenduslihtsusel, kuid võib olla teistsugune teie ettevõtte jaoks. Mõned neist lahendustest ei pruugi teie ettevõttele kohalduda või on praktilisem need lahendused teostada muus järjekorras või võib olla täiendavaid samme, mille teie ettevõte kasutusele võtma peab.
Te peaksite kinnitama, et teie tööjaama turbetarkvara on suuteline BlueKeep haavatavuse tuvastama. BlueKeep on ESET Internet Security ja ESETi ettevõtete tööjaama kaitseprogrammide tulemüüritehnoloogia täiendamiseks loodud ESETi Network Attack Protection mooduli poolt tuvastatud kui RDP/Exploit.CVE-2019-0708.
Joonis 2: ESET viirusetõrje lahti räägitud: kaitse võrgurünnete eest.
Tasub ära märkida, et on olemas olukordi, kus haavatavust ei pruugita tuvastada, seda näiteks juhul, kui haavatavus toob süsteemi ebastabiilsuse ja kokkujooksmise kaasa. Selleks, et haavatavus efektiivsemalt tuvastada, tuleks see siduda muu haavatavusega, näiteks teabe avaldamise haavatavusega, mis paljastab kerneli mäluaadressid, et neid ei oleks tarvis enam ära arvata. See võib vähendada seadme kokkujooksmist, sest praegune haavatavus on väga halva sooritusega.
Kui kasutate teise müüja turbetarkvara, siis kontrollige nende käest, kas BlueKeepi tuvastatakse ja kuidas seda tehakse.
Pidage meeles, need sammud on vaid algus sellele, mida tuleb teha enda kaitsmiseks RDP-rünnete eest. Kuigi rünnete tuvastamine on hea algus, siis see ei asenda vajadust haavatavad arvutid välja vahetada või haavatavus ära parandada. Teie infoturbe eest vastutav personal ja usaldatud turbepartnerid saavad anda rohkem teavet vastavalt teie keskkonna spetsiifikale.
ESETi BlueKeep (CVE-2019-0708) haavatavustesteri kasutamine
ESET on välja andnud tasuta BlueKeep (CVE-2019-0708) rakenduse, mis võimaldab kontrollida, kas teie Windowsi käitav arvuti on haavatavusele haavatav. Postituse avaldamise hetkel on rakendus võimalik alla laadida siit:
| Programm | ESET BlueKeep (CVE-2019-0708) haavatavustester |
| Versioon | 1.0.0.1 |
| Asukoht | https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetbluekeepchecker.exe |
| SHA-1 räsi | C0E66EA2659D2EA172950572FDB5DE881D3882D8 |
(Kindlasti kontrollige ESETi tööriistade ja utiliitide lehelt, kas olemas on uuem versioon)
Seda programmi on testitud 32- ja 64-bitistel versioonidel operatsioonisüsteemidest Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 and Windows Server 2008 R2 enne ja pärast Microsofti BlueKeep uuenduste rakendamist. Programmi kasutamiseks käivitage täidesaatev programm. Esmase väljaandega ei ole võimalik kasutada ühtki käsurea argumenti.
Programmi kasutamisel annab see teada, kas süsteem on haavatav, kas oht haavatavuse vastu on eemaldatud või süsteem ei ole BlueKeep haavatavuse suhtes haavatav. Kui süsteem on haavatav, siis suunab programm kasutaja Microsofti veebilehele, mille kaudu vajalik uuendus alla laadida.
Kuigi tegemist on isiklikuks kasutuseks mõeldud ühe-eesmärgilise programmiga ja see ei ole mõeldud massiliseks kasutamiseks automatiseeritud keskkonnas, siis on sellel piiratud tõrkeraportite esitamise võimalus. Skriptimise eesmärkidel, programm annab ERRORLEVEL vastusena nulli, kui süsteem on kaitstud ja ühe, kui see on haavatav või esineb tõrge.
Joonis 3: Näide rakenduse kasutamisest parandamata Windows 7 süsteemis.
Joonis 4: Näide rakenduse kasutamisest parandatud Windows 7 süsteemis.
Joonis 5: Näide rakenduse kasutamisest mittehaavatavas Windows 10 süsteemis.
Lõppsõna ja täiendav lugemine
Kuigi BlueKeep haavatavus ei pruugi kunagi muutuda laialt levinuks, siis selle kaasamine turbetestimise lahendustesse tähendab, et see on saanud püsivaks osaks in-house turbetestidest. See tähendab, et BlueKeep haavatavuse vastu on tegelikuks lahenduseks haavatavate seadmete eemaldamine ettevõtte võrgust.
Siiski, alati ei pruugi see olla võimalik, sest haavataval seadmel on ettevõttes kriitiline roll, vajalike kulude tegemiseks ei ole vahendeid või esineb muu põhjus. Me oleme kaua rääkinud sellest, et küberturbele peab lähenema kihiti, enda kaitsmine BlueKeepi eest ei ole selles osas kuidagi erinev. Mõned eelnevalt nimetatud sammudest, näiteks 2FA rakenduse ESET Secure Authentication paigaldamine võib teil aidata oma võrkusid kaitsta sissetungijate ja ka muude ohtude eest.
Rohkem teavet RDP ja BlueKeepi kohta on võimalik leida:
- CSO Online. Microsoft ärgitab Windowsi kasutajaid eemaldama ussistatavat RDP haavatavust. (15. mai 2019)
- Microsoft. Kaugtöölaua haavatavuse kõrvaldamiseks välja antud turbeuuendus operatsioonisüsteemidel Windows XP SP3, Windows Server 2003 SP2, Windows Server 2003 SP2 R2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009, ja Windows Embedded Standard 2009. (17. juuni 2019)
- Microsoft. Juhised klientidele kõrvaldamaks CVE-2019-0708 | kaugtöölaua teenuste käivitamise haavatavus: 14. mai, 2019. (14. mai 2019)
- Microsoft. CVE-2019-0708 | kaugtöölaua teenuste käivitamise haavatavus. (14. mai 2019)
- Microsoft. Võrgutaseme autentimise konfigureerimine kaugtöölauateenuste ühenduste juures. (13. juuni 2013)
- MITRE. CVE-2019-0708. (kuupäevata)
- NSA. NSA küberturbe nõukogu: parandage kaugtöölauateenused Windowsi vanematel versioonidel. (4. juuni 2019)
- SANS. Uuendus Microsoft Windows RDP “BlueKeep” haavatavuse kohta (CVE-2019-0708) [nüüd pcaps]. (22. mai 2019)
- US-CERT, Tehniline teavitus AA19-168A: Microsofti operatsioonisüsteemide BlueKeep haavatavus. (17. juuni 2019)
- WeLiveSecurity. Esimesed BlueKeep rünnakud toovad kaasa värsked hoiatused. (11. november 2019)
- WeLiveSecurity. Microsoft hoiatab BlueKeepi sarnaste vigade eest. (15. august 2019)
- WeLiveSecurity. BlueKeepi vastu uuendamine ei toimu piisavalt kiiresti. (17. juuli 2019)
- WeLiveSecurity. NSA liitub üleskutsega, et Windowsi kasutajad uuendaksid “BlueKeep” vastu. (6. juuni 2019)
- WeLiveSecurity. Uuendage nüüd! Miks BlueKeep haavatavus oluline on. (22. mai 2019)
- ZDNet. Intensiivne skaneerimine on tuvastatud BlueKeep RDP haavatavuse puhul. (26. mai 2019)
Erilised tänud mu kollegidele Alexis Dorais-Joncas, Bruce P. Burrell, Nick FitzGerald, Matúš P., Peter R., Peter Stančík, Štefan S., ja teistele kolleegidele ESETist, kes on panustanud selle artikli kirjutamisesse.
MITRE ATT&CK tehnikad
| Taktika | ID | Nimetus | Kirjeldus |
|---|---|---|---|
| Esialgne ligipääs | T1076 | Kaugtöölaua protokoll | BlueKeep kasutab ära kaugtöölaua protokolli haavatavust |
| T1133 | Välise kaugligipääsu teenused | BlueKeep kasutab ära väljapoole suunatud ja internetti ühendatud RDP servereid | |
| Käsk-ja-kontroll | T1071 | Standardne rakenduskihi protokoll | BlueKeep kasutab vaikimisi porti 3389 oma käskude edastamiseks. |
| T1043 | Tihti kasutatud port | BlueKeep kasutab vaikimisi porti 3389 sihtmärgi ründamiseks. | |
| Külgmine liikumine | T1210 | Kaugligipääsu teenuste ärakasutamine | BlueKeep kasutab ära väljapoole suunatud ja internetti ühendatud RDP servereid |
| Leevendamine | M1035 | Piirake võrgu kaudu ressurssidele ligisaamist | Takistage BlueKeep sissepääs VPN värava kaudu. |
| M1050 | Haavatavuse kaitse | Takistage BlueKeep sissepääs, kasutades haavatavuste kaitset tööjaama turbes. | |
| M1032 | Mitmeosaline autentimine | Kasutage MFA-d kõigi RDP kaudu teostatud sisselogimiste puhul. | |
| M1031 | Võrku tungimise ennetamine | Takistage BlueKeep sissepääs, kasutades haavatavuste kaitset tööjaama turbes. | |
| M1051 | Tarkvara uuendamine | Takistage BlueKeep haavatavus, installeerides -2019-0708 uuendus haavataval operatsioonisüsteemil. | |
| M1049 | Viirusetõrje | Takistage BlueKeep ründekoodi käitamist tööjaama turbe kasutamisega. |
