Brute-force útoky a BlueKeep využije uchvátit pohodlí přímého připojení RDP; ESET uvolňuje nástroj pro testování vašich počítačích se systémem Windows pro zranitelné verze
Zatímco BlueKeep (CVE-2019-0708) zranitelnost nemá, k dnešnímu dni, způsobil rozsáhlé zmatek, a my se podíváme na důvody, proč v tomto příspěvku, je stále ještě velmi brzy v jeho využívání životního cyklu. Faktem zůstává, že mnoho systémů stále není opraveno a stále by mohla být nalezena důkladně červivá verze exploitu. Kvůli těmto faktorům vytvořil ESET bezplatný nástroj pro kontrolu, zda je systém zranitelný.,
Někdy budete muset říct něco o věcech, které „samozřejmé“ a zdá se, že nejlepší způsob, jak začít tento post je od zmínku, že, protože to není téma, očekával jsem, že máte psát o tom, v tento den a věk. Než se ponoříme, začneme tím, že se podíváme na starého maxima.
v poli zabezpečení informací je staré přísloví, že pokud má protivník fyzický přístup k počítači, pak už to není váš počítač. Důvod je poměrně jednoduchý: jakmile útočníci mají ruce na počítači, mohou změnit vše, co chtějí., Instalace zařízení, jako jsou hardwarové keyloggery, odstranění disků a jejich kopírování, a jinak mazání, změnu nebo přidání, co chtějí na systému, všechny budou exponenciálně snazší, když můžete chodit až k počítači. Není to nijak zvlášť překvapivý obrat událostí, ani zvlášť chytrý. Spíše je to nevyhnutelná pravda. Pro protivníky je to jen část jejich popisu práce.
podniky a školy a nejrůznější organizace na to ale nejsou slepé., Tyto druhy míst, nedávejte své servery na recepci v lobby, recepce, návštěvnické centrum, čekárna nebo na jiných místech veřejných, nebo, teoreticky, každý zaměstnanec, fakulta, student, nebo zaměstnanec může vstoupit a získat fyzický přístup k nim. Nebo alespoň žádný podnik, který chce zůstat v podnikání, to neumožňuje. Obvykle, tam je nějaké oddělení serverů, ať už jsou ve své vlastní vyhrazené místnosti, nebo dokonce zastrčený v nějakém zadním rohu, který je pro většinu personálu mimo limity.,
přesto pro všechny tyto běžné znalosti se Poučení o bezpečnosti ve fyzickém světě ne vždy dobře (nebo správně) přenášejí do internetového světa. Existuje mnoho serverů s různými verzemi operačních systémů Microsoft Windows server, které jsou přímo připojeny k internetu s tím, co činí malou nebo žádnou praktickou bezpečnost kolem, kdo k nim má přístup. A to nás přivádí k diskusi o RDP.
co je RDP?
RDP, zkratka pro Remote Desktop Protocol, umožňuje jeden počítač připojit k jinému počítači přes síť, aby se ji používat na dálku., V doméně počítače se systémem Klienta se systémem Windows operačního systému, například Windows XP nebo Windows 10 přišel s RDP klient software předinstalován jako součást operačního systému, který jim umožňuje připojení k ostatním počítačům v síti, včetně organizace server(y). Připojení k serveru v tomto případě znamená, že může být přímo k operačnímu systému serveru, nebo může být k operačnímu systému běžícímu uvnitř virtuálního počítače na tomto serveru., Z tohoto připojení může člověk otevřít adresáře, stahovat a nahrávat soubory a spouštět programy, stejně jako pomocí klávesnice a monitoru připojeného k tomuto serveru.
RDP byl vynalezen Citrix v roce 1995 a prodáván jako součást rozšířené verze systému Windows NT 3.51 s názvem WinFrame. V roce 1998 společnost Microsoft přidala RDP do Windows NT 4.0 Terminal Server Edition., Od té doby je protokol součástí všech verzí řady operačních systémů Microsoft Windows Server a je součástí všech verzí operačních systémů Windows Client od vydání systému Windows XP v roce 2001. Dnes, běžné uživatele z RDP patří správci systému dělá vzdálenou správu serverů z jejich kabiny, aniž by museli jít do serverovny, stejně jako vzdálené pracovníky, kteří se mohou připojit k virtualizovaných stolních počítačích uvnitř jejich organizace domény.
co dělají útočníci s RDP?,
za posledních pár let společnost ESET zaznamenala rostoucí počet incidentů, kdy se útočníci vzdáleně připojili k serveru Windows z Internetu pomocí RDP a přihlásili se jako správce počítače. Jakmile jsou útočníci přihlášeni na server jako administrátor, obvykle provedou nějaký průzkum, aby zjistili, k čemu je server používán, kým a kdy je používán.
jakmile útočníci znají typ serveru, který mají pod kontrolou, mohou začít provádět škodlivé akce.,s jsme viděli, patří:
- vymazání souborů protokolu, které obsahují důkazy o jejich přítomnosti v systému
- vypnutí plánované zálohování a stínové kopie
- vypnout bezpečnostní software nebo nastavení výjimek v něm (které je povoleno pro administrátory)
- stahování a instalaci různých programů na server
- vymazání nebo přepsání staré zálohy, pokud jsou přístupné
- exfiltrating dat ze serveru
Toto není úplný seznam všech věcí, které útočník může dělat, ani je útočník nutně provádět všechny tyto činnosti., Útočníci se mohou během několika dnů nebo jen jednou připojit, pokud mají předem stanovenou agendu., Zatímco přesná povaha toho, co útočníci udělat, se velmi liší, dva nejčastější jsou:
- instalace coin-mining programy s cílem vytvořit kryptoměna, jako Monero
- instalace ransomware aby se vydírat peníze od organizace, často se vyplácí používat kryptoměnu, jako například bitcoin
V některých případech, útočníci mohou instalovat další dálkové ovládání software udržovat přístup k datům (persistence) na napadených serverů v případě jejich PRV aktivity jsou objeveny a ukončena.,
Jsme neviděli žádné servery, které byly napadeny obě vydírat přes ransomware a moje kryptoměna, ale viděli jsme případy, kdy server byl napaden jeden útočník moje cryptocurrency, pak později napaden útočníky, kteří změnili coin miner tak, že výtěžek šel k nim, místo toho. Zdá se, že mezi zloději je malá čest.
Znalosti kolem PRV útoky dosáhla bodu, že i sextortion podvodníci jsou začlenění zmínky v jejich výkupné poznámky ve snaze, aby jejich podvody zvuk více legitimní.,
Obrázek 1. Obrázek z sextortion e-mail podvod zmínku PRV
Pro více informací o těchto typech e-mailové podvody, doporučuji tuto sérii článků mého kolegy Bruce P. Burrella: Část I, Část II a Část III.
Hmotnost PRV útoky
Útoky provádí s RDP byly pomalu, ale jistě zvyšuje, a s výhradou několika vládních rad z FBI, ve velké BRITÁNII je NCSC, Kanada je CCCS, a Austrálie je ACSC, abychom jmenovali alespoň některé.,
Nicméně, v Květnu 2019 stavidla se otevřela s příchodem CVE-2019-0708, aka „BlueKeep, a to“ chyba zabezpečení v protokolu RDP ovlivňuje Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 a Windows Server 2008 R2. Na ploše nejsou ovlivněny Windows 8 a novější a na serverech Windows Server 2012 a novější.
chyba zabezpečení BlueKeep umožňuje útočníkům spouštět libovolný programový kód v počítačích svých obětí., Zatímco i jednotlivé útočníky mohou být rozšířený hrozba, protože mohou použít automatizované nástroje pro útoky, tato chyba je „wormable“, což znamená, že útok může šířit sám automaticky po síti bez jakéhokoliv zásahu uživatele, stejně jako Win32/Diskcoder.C (aka NotPetya) a Conficker červy mají v minulosti.
vykořisťování zranitelných míst je obecně považováno za závažný problém., Microsoft má přidělen zranitelnost jeho nejvyšší úroveň závažnosti, Kritický, ve své zveřejněné pokyny pro zákazníky, a v USA vládní National Vulnerability Database, vstup pro CVE-2019-0708 je zaznamenal jako 9.8 z 10. Microsoft vydal blogu důrazně doporučuje, aby uživatelé instalovat jeho opravy, včetně těch, pro out-of-podpora operačních systémů, jako jsou Windows XP a Windows Server 2003., Obavy z zneužití červů byly tak vysoké, že na začátku června vydala americká Národní bezpečnostní agentura vzácné poradenství doporučující instalaci oprav společnosti Microsoft pro chybu.
Na začátku září Rapid7, vývojář nástroje Metasploit pentesting, oznámil vydání bluekeep exploit. Zatímco v příštích několika měsících nebyly hlášeny žádné významné eskalace aktivity BlueKeep, to se nedávno změnilo. Na začátku listopadu, masové zprávy o vykořisťování BlueKeep se staly veřejnými, jak poznamenal ZDNet a WIRED, mimo jiné zpravodajské servery., Útoky byly údajně provedeny méně než úspěšné s asi 91% z zranitelné počítače shazovat s chyba stop (aka chyba, zkontrolujte nebo Modrá Obrazovka Smrti), kdy se útočník pokusí využít BlueKeep zranitelnost. Na zbývajících 9% zranitelných počítačů však tito útočníci úspěšně nainstalovali software Monero cryptomining. Takže, i když to není obávaný útok červů, zdá se, že zločinecká skupina automatizovala vykořisťování, i když bez vysoké úspěšnosti.,
Když jsem původně začal psát tento blog post, nebyl to můj záměr jít do podrobný popis zranitelnosti, ani bylo to poskytnout ose jeho využití: mým cílem bylo poskytnout čtenářům s pochopením toho, co je třeba udělat, aby se ochránili proti této hrozbě. Podívejme se tedy na to, co je třeba udělat.
obrana proti RDP-borne útočníků
takže, se vším, co na mysli, co můžete dělat? První věcí je samozřejmě přestat se připojovat přímo k vašim serverům přes internet pomocí RDP., To může být pro některé podniky problematické, protože mohou existovat některé zdánlivě legitimní důvody. Nicméně, s podporou pro Windows Server 2008 a Windows 7 končí v lednu 2020, s počítače se systémem tyto a jsou přímo přístupné pomocí protokolu RDP přes internet představuje riziko pro své podnikání, které by mělo být již plánuje zmírnit.
to neznamená, že musíte okamžitě přestat používat RDP, ale musíte podniknout další kroky k jeho zajištění co nejdříve a co nejrychleji., K tomuto účelu jsme vytvořili tabulku s deseti kroky, které můžete podniknout, aby začít zabezpečení vašeho počítače z PRV-based útoky.
Doporučení pro zabezpečení RDP | |
---|---|
1. Zakázat externí připojení k místním strojům na portu 3389 (TCP / UDP)na obvodovém firewallu.* | blokuje přístup RDP z internetu. |
2., Otestujte a nasaďte záplaty pro zranitelnost CVE-2019-0708 (BlueKeep) a co nejrychleji povolte ověřování na úrovni sítě. | instalace opravy společnosti Microsoft a dodržování jejich normativních pokynů pomáhá zajistit ochranu zařízení před zranitelností BlueKeep. |
3. Pro všechny účty, které lze přihlásit přes RDP vyžadují komplexní hesla (dlouhá přístupová hesla obsahující 15+ znaků bez frází týkajících se podnikání, názvy produktů, nebo uživatelé je povinné). | chrání před útoky na hádání hesel a pověření., Je neuvěřitelně snadné je automatizovat a zvýšení délky hesla je činí exponenciálně odolnějšími vůči takovým útokům. |
4. Nainstalujte dvoufaktorovou autentizaci (2FA) a minimálně ji vyžadujte na všech účtech, které lze přihlásit prostřednictvím RDP. | vyžaduje druhou vrstvu autentizace, která je k dispozici pouze zaměstnancům prostřednictvím mobilního telefonu, tokenu nebo jiného mechanismu pro přihlášení do počítačů. |
5. Nainstalujte bránu virtuální privátní sítě (VPN), abyste zprostředkovali všechna připojení RDP mimo místní síť., | zabraňuje připojení RDP mezi internetem a místní sítí. Umožňuje vynutit silnější požadavky na identifikaci a ověřování pro vzdálený přístup k počítačům. |
6. Software pro ochranu koncových bodů heslem pomocí silného hesla nesouvisejícího s administrativními a servisními účty. | poskytuje další vrstvu ochrany, pokud útočník získá přístup správce k vaší síti. |
7. Povolit blokování vykořisťování v softwaru pro zabezpečení koncových bodů., | mnoho programů zabezpečení koncových bodů může také blokovat techniky vykořisťování. Ověřte, zda je tato funkce povolena. |
8. Izolujte jakýkoli nezabezpečený počítač, ke kterému je třeba přistupovat z Internetu pomocí RDP. | implementujte izolaci sítě tak, aby blokovala zranitelný počítač(počítače) ze zbytku sítě. |
9. Vyměňte nezabezpečené počítače. | pokud počítač nelze opravit proti zranitelnosti BlueKeep, naplánujte jeho včasnou výměnu. |
10. Zvažte zavedení blokování geoipu na bráně VPN., | pokud jsou zaměstnanci a prodejci ve stejné zemi nebo v krátkém seznamu zemí, zvažte blokování přístupu z jiných zemí, abyste zabránili připojení zahraničních útočníků. |
*ve výchozím nastavení pracuje RDP na portu 3389. Pokud jste tento port změnili na jinou hodnotu, pak je to port, který by měl být zablokován.
tato tabulka je volně založena na pořadí důležitosti a snadnosti implementace, ale to se může lišit v závislosti na vaší organizaci., Některé z nich nemusí být použitelné pro vaši organizaci, nebo může být praktičtější dělat je v jiném pořadí, nebo mohou existovat další kroky, které musí vaše organizace podniknout.
měli byste ověřit, zda váš software pro zabezpečení koncových bodů detekuje chybu zabezpečení BlueKeep. BlueKeep je detekován jako RDP / Exploit.CVE-2019-0708 tím, že ESET je Síťová Ochrana Útok modul, který je prodloužení ESET firewall technologie v ESET Internet Security a ESET Smart Security Premium pro spotřebitele, a společnosti ESET endpoint protection programy pro firmy.,
Obrázek 2. ESET Antimalware technologii vysvětlil: Síťová Ochrana Útok.
Je třeba poznamenat, však, že existují scénáře, kde detekce nemusí nastat, jako je exploit první padání systému, protože to je nespolehlivé. Aby byla efektivnější, musela by být spárována s jiným zneužitím, jako je zranitelnost zveřejňování informací, která odhaluje adresy paměti jádra, takže již není třeba hádat., To by mohlo snížit množství havárií, protože aktuální exploit provádí tak velký haldy sprej.
Pokud používáte bezpečnostní software od jiného dodavatele, zkontrolujte s nimi, zda je detekován BlueKeep a jak.
mějte na paměti, že tyto kroky představují pouze začátek toho, co můžete udělat pro ochranu před útoky RDP. Zatímco detekce útoků je dobrým začátkem, není náhradou za opravu nebo výměnu zranitelných počítačů. Vaši pracovníci v oblasti informační bezpečnosti a důvěryhodní bezpečnostní partneři vám mohou poskytnout další pokyny specifické pro vaše prostředí.,
Pomocí ESET je BlueKeep (CVE-2019-0708) zranitelnosti checker
ESET vydala zdarma BlueKeep (CVE-2019-0708) nástroj k zkontrolujte, zda počítač se systémem Windows je náchylné k vykořisťování. Jak v době vydání, tento nástroj lze stáhnout z:
(nezapomeňte zkontrolovat ESET Nářadí a Nástroje stránka pro novější verze)
Tento program byl testován proti 32-bit a 64-bitové verze Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 a Windows Server 2008 R2 před a po aplikaci Microsoft aktualizace pro BlueKeep., Chcete-li program použít, spusťte spustitelný soubor. Neexistují žádné argumenty příkazového řádku pro použití s počátečním vydáním.
Při spuštění, program bude hlásit, pokud systém je zranitelný vůči vykořisťování, pokud systém je oprava proti vykořisťování, nebo pokud systém není náchylné k BlueKeep vykořisťování. V případě, že je systém zranitelný, nástroj vezme uživatele na webovou stránku a stáhne příslušnou opravu na webových stránkách společnosti Microsoft.,
i když se jedná o jednoúčelový nástroj určený pro osobní potřebu a není určen pro hromadné použití v automatizovaném prostředí, má omezené hlášení chyb. Pro skriptování nástroj vrátí CHYBUÚROVEŇ nuly, pokud je systém chráněn, a jeden, pokud je zranitelný nebo došlo k chybě.
obrázek 3. Příklad spuštěn nástroj na neopravených Windows 7 systém,
Obrázek 4., Příklad spuštěn nástroj na záplatované Windows 7 systém,
Obrázek 5. Příklad spuštěn nástroj na non-zranitelný systém Windows 10
Poslední myšlenky a další čtení
Zatímco BlueKeep využívání může nikdy stal se rozšířený, jeho zařazení v pentesting nástroje znamená, že to bude stát trvalou součástí bezpečnostní testy. Skutečným řešením prevence využívání BlueKeep je tedy odstranění zranitelných zařízení ze sítě vaší společnosti.,
nemusí to však být vždy možné, protože zranitelné zařízení zaujímá kritickou roli v podnikání, z důvodu nákladů nebo z jiných důvodů. Dlouho jsme se zasazovali o vrstvený přístup k bezpečnosti a ochrana proti Bluekeepu není výjimkou. Některé z výše uvedených kroků, například instalace aplikace 2FA, jako je ESET Secure Authentication, mohou ve skutečnosti pomoci zabezpečit vaše sítě před vetřelci a dalšími hrozbami.
Další informace o RDP a BlueKeep naleznete na adrese:
- CSO Online., Microsoft vyzývá zákazníky systému Windows, aby opravili chybu RDP. (15. Května 2019)
- Popis aktualizace zabezpečení pro vzdálené spuštění kódu v systému Windows XP SP3, Windows Server 2003 SP2, Windows Server 2003 R2 SP2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded standard 2009 a Windows Embedded Standard 2009. (17 červen 2019)
- pokyny pro zákazníky pro CVE-2019-0708 | Remote Desktop Services Remote Code Execution zranitelnost: 14. května 2019., (14. května 2019)
- CVE-2019-0708 | Remote Desktop Services Remote Code Execution zranitelnost. (14 květen 2019)
- konfigurovat ověřování úrovně sítě pro připojení služeb vzdálené plochy. (13. Června 2013)
- CVE-2019-0708. (nedatováno)
- NSA Cybersecurity Advisory: Patch Remote Desktop Services na starších verzích systému Windows. (4 červen 2019)
- aktualizace zranitelnosti Microsoft Windows RDP „BlueKeep“ (CVE-2019-0708) . (22 květen 2019)
- US-CERT, Technická Výstraha AA19-168a: Microsoft operační systémy Bluekeep zranitelnost., (17 červen 2019)
- první útoky BlueKeep vyvolávají nová varování. (11 listopad 2019)
- Microsoft varuje před novými vadami podobnými Bluekeepu. (15 srpen 2019)
- oprava BlueKeep nepostupuje dostatečně rychle. (17 červenec 2019)
- NSA se připojí k sboru, který vyzývá uživatele systému Windows, aby opravili „BlueKeep“. (6 červen 2019)
- Patch nyní! Proč je chyba zabezpečení BlueKeep velký problém. (22 květen 2019)
- intenzivní skenovací aktivita detekovaná pro chybu BLUEKEEP RDP. (26. Května 2019)
Zvláštní poděkování mým kolegům Alexis Dorais-Joncas, Bruce P. Burrella, Michal F.,, Nick FitzGerald, Branislav o., Matúš P., Peter R., Peter Stančík, Štefan s. a další kolegové z ESETu za jejich pomoc s tímto článkem.
MITRE, ATT&CK techniky
Taktika | ID | Jméno | Popis |
---|---|---|---|
Počáteční Přístup | T1076 | Remote Desktop Protocol | BlueKeep využívá zabezpečení v Remote Desktop Protocol., |
T1133 | External Remote Services | BlueKeep exploits public-facing RDP servers on the Internet. | |
Command and Control | T1071 | Standard Application Layer Protocol | BlueKeep uses port 3389 by default for command and control. |
T1043 | Commonly Used Port | BlueKeep uses port 3389 by default for attack targeting. | |
Lateral Movement | T1210 | Exploitation of Remote Services | BlueKeep exploits public-facing RDP servers on the Internet., |
Zmírnění | M1035 | Omezit Přístup k Prostředku Přes síť | Zabránit BlueKeep ingress i když použití VPN gateway. |
M1050 | Exploit Ochrana | Zabránit BlueKeep ingress pomocí exploit ochraně, v zabezpečení koncových bodů. | |
M1032 | vícefaktorová autentizace | použijte MFA pro všechna přihlášení prováděná prostřednictvím RDP. | |
M1031 | prevence narušení sítě | zabraňte vniknutí BlueKeep pomocí ochrany sítě v zabezpečení koncových bodů., | |
M1051 | Update Software | Zabránit BlueKeep vykořisťování prostřednictvím instalaci CVE-2019-0708 opravu nebo upgrade na non-zranitelné verze operačního systému. | |
M1049 | Antivirus/Antimalware | Zabránit BlueKeep útoku z chodu pomocí endpoint security. |
stále používáte počítače náchylné k BlueKeep? Pomohla kontrola zranitelnosti ESET BlueKeep (CVE-2019-0708)? Pokud ano, jaké kroky jste podnikli ke zmírnění vykořisťování? Ujistěte se, dejte nám vědět, níže!,