Brute-force-angreb og BlueKeep udnytter tilrane sig bekvemmelighed direkte RDP-forbindelser, ESET ‘s udgivelser, et værktøj til at teste din Windows-maskiner for sårbare versioner
mens BlueKeep (CVE-2019-0708) sårbarhed ikke hidtil har forårsaget udbredt kaos, og vi vil se på årsagerne til, at det i dette indlæg stadig er meget tidligt i dets udnyttelseslivscyklus. Faktum er, at mange systemer er stadig ikke lappet, og en grundigt wormormable version af udnytte kan stadig findes. På grund af disse faktorer har ESET oprettet et gratis værktøj til at kontrollere, om et system er sårbart.,
Nogle gange skal du sige noget om ting, der “siger sig selv”, og det ser ud til, at den bedste måde at starte dette indlæg er ved at nævne netop det, fordi dette ikke er et emne, Jeg forventede at skulle skrive om i denne dag og alder. Før vi dykker ind, lad os begynde med at se på en gammel ma .im.
Der er et gammelt ordsprog i informationssikkerhedsfeltet, at hvis en modstander har fysisk adgang til din computer, er det ikke din computer længere. Årsagen til dette er ganske enkel: når angriberne først har hænderne på en computer, kan de ændre alt, hvad de vil., Installation af enheder, såsom hardware keyloggere, fjernelse af disk-drev og kopiere dem, og ellers at slette, ændre eller tilføje noget, de ønsker på systemet, bliver alle eksponentielt lettere, når du kan gå helt op til computeren. Dette er ikke en særlig overraskende begivenhed eller en særlig klog. Det er snarere en uundgåelig sandhed. For modstanderne er det bare en del af deres jobbeskrivelse.
virksomheder og skoler og alle slags organisationer er dog ikke blinde for dette., Disse slags steder lægger ikke deres servere i receptionen i lobbyen, receptionsområdet, Besøgscenter, venterum eller andre steder, hvor offentligheden eller, tænkeligt, enhver medarbejder, fakultet, studerende, eller personale kan komme ind og få fysisk adgang til dem. Eller i det mindste tillader ingen virksomhed, der ønsker at forblive i erhvervslivet, dette. Normalt er der en vis adskillelse af serverne, uanset om de er i deres eget dedikerede rum eller endda gemt væk i et bagerste hjørne, der er uden for grænserne for de fleste personale.,
alligevel overføres erfaringerne om sikkerhed i den fysiske verden ikke altid godt (eller korrekt) til internetverdenen. Der er mange servere, der kører forskellige versioner af Microsoft Windows server operativsystemer, der er direkte forbundet til internettet med, hvad der svarer til lidt eller ingen praktisk sikkerhed omkring, hvem der kan få adgang til dem. Og det bringer os til diskussionen om RDP.
Hvad er RDP?
RDP, forkortelse for Remote Desktop Protocol, giver en computer mulighed for at oprette forbindelse til en anden computer via et netværk for at bruge den eksternt., I et domæne, computere, der kører en Windows-Klient, operativsystem som Windows XP eller Windows 10, komme med RDP-klient software preinstalleret som en del af operativsystemet, som giver dem mulighed for at oprette forbindelse til andre computere på netværket, herunder organisations-server(s). En forbindelse til en server betyder i dette tilfælde, at den kan være direkte til serverens operativsystem, eller det kan være til et operativsystem, der kører inde i en virtuel maskine på den server., Fra denne forbindelse kan en person åbne mapper, do .nloade og uploade filer og køre programmer, ligesom ved at bruge tastaturet og skærmen, der er tilsluttet den pågældende server.RDP blev opfundet af Citri.i 1995 og solgt som en del af en forbedret version af .indo .s NT 3.51 kaldet .inframe. I 1998 tilføjede Microsoft RDP til Windows NT 4.0 Terminal Server Edition., Siden da, er den protokol, der har været en del af alle versioner af Microsoft ‘ s linje af Windows Server operativ systemer, såvel som at være inkluderet med alle ikke-home bruger udgaver af Windows Klientens operativsystem siden Windows XP blev frigivet i 2001. I dag inkluderer almindelige brugere af RDP systemadministratorer, der udfører fjernadministration af servere fra deres aflukke uden at skulle gå ind i serverrummet, samt fjernarbejdere, der kan oprette forbindelse til virtualiserede desktop-maskiner inden for deres organisations domæne.
Hvad gør angribere med RDP?,
i de sidste par år har ESET set et stigende antal hændelser, hvor angriberne har tilsluttet eksternt til en Serverindo .s-Server fra internettet ved hjælp af RDP og logget på som computerens administrator. Når angriberne er logget ind på serveren som administrator, vil de typisk udføre en vis rekognoscering for at bestemme, hvad serveren bruges til, af hvem, og hvornår den bruges.
når angriberne kender den slags server, de har kontrol over, kan de begynde at udføre ondsindede handlinger.,s vi har set er:
- afhjælpning af log-filer, der indeholder dokumentation for deres tilstedeværelse på systemet
- deaktivere planlagte sikkerhedskopieringer og øjebliksbilleder
- deaktivering af sikkerheds-software eller opsætning af udelukkelser i det (hvilket er tilladt for administratorer)
- hentning og installation af forskellige programmer på serveren
- slette eller overskrive gamle sikkerhedskopier, hvis de er tilgængelige
- exfiltrating data fra serveren
Dette er ikke en komplet liste over alle de ting, som en hacker kan gøre, eller er en hacker nødvendigvis kommer til at udføre alle disse aktiviteter., Angribere kan forbinde flere gange over dage eller bare oncen gang, hvis de har en forudbestemt dagsorden., Mens den præcise natur af, hvad angribere vil gøre, varierer i høj grad, to af de mest almindelige er:
- installation af mønt-mining programmer med henblik på at generere cryptocurrency, som Monero
- installation af ransomware for at presse penge ud af organisationen, ofte for at være udbetalt ved hjælp af cryptocurrency, som bitcoin
I nogle tilfælde, hackere kan installere ekstra remote-control software til at opretholde adgang (persistens) til kompromitterede servere i tilfælde af at deres RDP aktiviteter, der er opdaget og afsluttes.,
Vi har ikke set nogen servere, der er blevet kompromitteret både at presse via ransomware og mine cryptocurrency, men vi har set tilfælde, hvor en server blev kompromitteret af en hacker at mine cryptocurrency, senere kompromitteret af andre angribere, der har ændret mønt miner, således at indtægterne gik til dem, i stedet for. Det ser ud til, at der er lidt Ære blandt tyve.viden omkring RDP-angreb har nået et punkt, at selv se .tortion svindlere inkorporerer omtale af det i deres løsesum noter i et forsøg på at gøre deres svindel lyde mere legitimt.,
Figur 1. Billede fra sextortion e-mail scam nævne RDP
For mere information om disse typer af e-mail-svindel, vil jeg anbefale denne serie af artikler, som min kollega Bruce P. Burrell: Del i, Del II og Del III.
Masse RDP angreb
Angreb, der udføres med RDP har været langsomt, men støt stigende, og med forbehold for en række offentlige bulletiner fra FBI, den BRITISKE NCSC, Canada ‘ s CCCS, og Australiens ACSC, for at nævne et par stykker.,
Men i Kan 2019 sluserne åbnet med ankomsten af CVE-2019-0708, aka “BlueKeep,” en sikkerhedsbrist i RDP, der påvirker Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 og Windows Server 2008 R2. På skrivebordet, Windowsindo .s 8 og senere, og på servere, Windowsindo .s Server 2012 og senere, er upåvirket.BlueKeep-sårbarheden gør det muligt for angribere at køre vilkårlig programkode på deres ofrenes computere., Mens selv de enkelte angribere kan være en udbredt trussel, fordi de kan bruge automatiserede værktøjer til angreb, denne sårbarhed er “wormable,” hvilket betyder, at et angreb, der kan sprede sig automatisk på tværs af netværk, uden indblanding fra brugerne, ligesom det Win32/Diskcoder.C (aka NotPetya) og Conficker orme har tidligere.udnyttelse af sårbarheder, der kan Ormes, betragtes generelt som et alvorligt problem., Microsoft har tildelt sårbarheden sit højeste alvorlighedsniveau, kritisk, i sin offentliggjorte vejledning til kunder, og i den amerikanske regerings nationale Sårbarhedsdatabase scores posten til CVE-2019-0708 som 9.8 ud af 10. Microsoft udstedt et blogindlæg anbefaler kraftigt, at brugerne installere sine patches, herunder dem for out-of-support operativsystemer som Windowsindo .s .p og .indo .s Server 2003., Bekymringerne for en ormbar udnyttelse var så høje, at det amerikanske nationale sikkerhedsagentur i begyndelsen af juni udstedte en sjælden rådgivning, der anbefalede installation af Microsofts programrettelser til fejlen.
i begyndelsen af September annoncerede Rapid7, udvikleren af Metasploit pentesting-værktøjet, frigivelsen af en BlueKeep-udnyttelse. Selvom der ikke blev rapporteret om større eskaleringer i BlueKeep-aktivitet i de næste par måneder, er dette for nylig ændret. I begyndelsen af November, masse rapporter om BlueKeep udnyttelse blev offentligt, som bemærket af anddnet og WIREDIRED, blandt andre nyhedskanaler., Angrebene har efter sigende været mindre end vellykket, med omkring 91% af sårbare computere styrter ned med et stop fejl (aka bug check eller Blue Screen of Death) når angriberen forsøger at udnytte BlueKeep sårbarhed. På de resterende 9% af sårbare computere installerede disse angribere imidlertid Monero cryptomining-soft .are. Så selvom det ikke er det frygtede wormormable angreb, ser det ud til, at en kriminel gruppe har automatiseret udnyttelse, omend uden en høj succesrate.,
Da jeg oprindeligt begyndte at skrive dette blog indlæg, var det ikke min hensigt at gå ind i en detaljeret beskrivelse af svaghed, det var heller ikke til at give en tidslinje over dets udnyttelse: mit mål var at give læserne en forståelse af, hvad der skal gøres for at beskytte sig mod denne trussel. Så lad os tage et kig på, hvad der skal gøres.
forsvar mod RDP-bårne angribere
så med alt det i tankerne, Hvad kan du gøre? Nå, det første er naturligvis at stoppe med at oprette forbindelse direkte til dine servere via internettet ved hjælp af RDP., Dette kan være problematisk for nogle virksomheder, fordi der kan være nogle tilsyneladende legitime grunde til dette. Men med støtte til både Windows Server 2008 og Windows 7, der sluttede i januar 2020, der computere, der kører disse og være direkte adgang via RDP via internettet udgør en risiko for din virksomhed, som du bør allerede have planer om at afbøde.
dette betyder ikke, at du straks skal stoppe med at bruge RDP, men at du skal tage yderligere skridt for at sikre det så hurtigt og så hurtigt som muligt., Mod dette formål har vi oprettet en tabel med de ti bedste trin, du kan tage for at begynde at sikre dine computere mod RDP-baserede angreb.
Anbefaling for at sikre RDP | Årsag |
---|---|
1. Tillad ikke eksterne forbindelser til lokale maskiner på port 3389 (TCP/UDP) ved perimeter fire .all.* | blokerer RDP-adgang fra internettet. |
2., Test og implementer patches til sårbarheden CVE-2019-0708 (BlueKeep), og aktiver godkendelse af netværksniveau så hurtigt som muligt. | installation af Microsofts patch og efter deres receptpligtige retningslinjer hjælper med at sikre, at enheder er beskyttet mod BlueKeep-sårbarheden. |
3. For alle konti, der kan logges ind via RDP, kræver komplekse adgangskoder (en lang adgangskode indeholdende 15+ tegn uden sætninger relateret til virksomheden, produktnavne eller brugere er obligatorisk). | beskytter mod pass .ord-gætte og legitimationsoplysninger-udstopning angreb., Det er utroligt nemt at automatisere disse, og øge længden af en adgangskode gør dem eksponentielt mere modstandsdygtige over for sådanne angreb. |
4. Installer tofaktorautentisering (2FA) og kræver det mindst på alle konti, der kan logges ind via RDP. | kræver et andet lag af godkendelse kun tilgængelig for medarbejdere via mobiltelefon, token eller anden mekanisme til at logge ind på computere. |
5. Installer en virtual private net .ork (VPN) Gate .ay til mægler alle RDP-forbindelser uden for dit lokale netværk., | forhindrer RDP-forbindelser mellem Internettet og dit lokale netværk. Giver dig mulighed for at håndhæve stærkere identifikations-og godkendelseskrav for fjernadgang til computere. |
6. Pass .ord-beskytte endpoint sikkerhedssoft .are ved hjælp af en stærk adgangskode, der ikke er relateret til administrative og servicekonti. | giver et ekstra beskyttelseslag, hvis en angriber får administratoradgang til dit netværk. |
7. Aktiver udnyttelse blokering i endpoint sikkerhedssoft .are., | mange endpoint sikkerhedsprogrammer kan også blokere udnyttelse teknikker. Kontroller, at denne funktionalitet er aktiveret. |
8. Isolere enhver usikker computer, der skal tilgås fra internettet ved hjælp af RDP. | implementere netværksisolering for at blokere sårbare computere fra resten af netværket. |
9. Udskift usikre computere. | hvis en computer ikke kan lappes mod BlueKeep sårbarhed, planlægge sin rettidig udskiftning. |
10. Overvej at indføre geoIP-blokering ved VPN-Gate .ay., | hvis Personale og leverandører er i samme land eller en kort liste over lande, skal du overveje at blokere adgangen fra andre lande for at forhindre forbindelser fra udenlandske angribere. |
*Som standard, RDP kører på port 3389. Hvis du har ændret denne port til en anden værdi, er det den port, der skal blokeres.
denne tabel er løst baseret på rækkefølge af betydning og nem implementering, men det kan variere afhængigt af din organisation., Nogle af disse gælder muligvis ikke for din organisation, eller det kan være mere praktisk at gøre dem i en anden rækkefølge, eller der kan være yderligere trin, som din organisation skal tage.
Du bør kontrollere, at din endpoint-sikkerhedssoft .are registrerer BlueKeep-sårbarheden. BlueKeep registreres som RDP/e .ploit.CVE-2019-0708 af ESET ‘s Network Attack Beskyttelse modul, som er en udvidelse af ESET’ s firewall-teknologi er til stede i ESET Internet Security og ESET Smart Security Premium for forbrugerne, og ESET ‘ s endpoint protection programmer for virksomheder.,
Figur 2. ESET Antimalware teknologi forklaret: Network Attack Beskyttelse
Det skal dog bemærkes, at der er scenarier, hvor registrering kan ikke ske, sådan som den udnytter første bryder systemet, fordi det er upålidelige. For at det skal være mere effektivt, det skulle være parret med en anden udnyttelse, såsom en informationsafsløringssårbarhed, der afslører kernehukommelsesadresser, så de ikke længere behøver at blive gættet., Dette kunne reducere mængden af nedbrud, som den nuværende udnytte udfører sådan en stor bunke spray.
Hvis du bruger sikkerhedssoft .are fra en anden leverandør, skal du tjekke med dem for at se, om BlueKeep er registreret, og hvordan.husk, at disse trin kun repræsenterer begyndelsen på, hvad du kan gøre for at beskytte mod RDP-angreb. Selvom det er en god start at have detektion for angreb, er det ikke en erstatning for at lappe eller udskifte sårbare computere. Dit informationssikkerhedspersonale og betroede sikkerhedspartnere kan give dig yderligere vejledning, der er specifik for dit miljø.,
ved Hjælp af ESET ‘ s BlueKeep (CVE-2019-0708) sårbarhed brik
ESET har udgivet en gratis BlueKeep (CVE-2019-0708) redskab til at kontrollere, om en computer, der kører Windows er sårbare over for udnyttelse. På tidspunktet for offentliggørelsen, værktøjet kan downloades fra:
(Vær sikker på at tjekke ESET ‘ s Værktøjer og Hjælpeprogrammer side til nyere versioner)
Dette program har været testet mod 32-bit og 64-bit versioner af Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 og Windows Server 2008 R2 før og efter anvendelse af Microsoft opdateringer til BlueKeep., For at bruge programmet skal du køre den eksekverbare. Der er ingen kommandolinjeargumenter til brug med den første udgivelse.
når det køres, rapporterer programmet, om systemet er sårbart over for udnyttelse, hvis systemet er lappet mod udnyttelse, eller hvis systemet ikke er sårbart over for BlueKeep-udnyttelse. I tilfælde af at systemet er sårbart, vil værktøjet tage brugeren til webebsiden for at do .nloade den relevante patch på Microsofts webebsted.,
selvom dette er et enkelt værktøj beregnet til personlig brug og ikke er beregnet til at blive implementeret til massebrug i et automatiseret miljø, har det begrænset fejlrapportering. Ved scripting returnerer værktøjet et fejlniveau på nul, hvis systemet er beskyttet, og et, hvis det er sårbart eller der er opstået en fejl.
Figur 3. Eksempel på at køre af på den uændrede Windows 7 system
Figur 4., Eksempel på en kører værktøjet på lappet Windows 7 system
Figur 5. Eksempel på en kører værktøjet på ikke-sårbare Windows-10 system
Sidste tanker og supplerende læsning
Mens BlueKeep udnyttelse kan aldrig blive udbredt, dens integration i pentesting værktøjer, der betyder, at det vil blive en permanent del af in-house sikkerhedstest. Så, den rigtige løsning til at forhindre BlueKeep udnyttelse er at fjerne sårbare enheder fra din virksomheds netværk.,
det kan dog ikke altid være muligt at gøre det, fordi en sårbar enhed indtager en kritisk rolle i virksomheden på grund af omkostninger eller af andre grunde. Vi har længe været fortalere for at tage en lagdelt tilgang til sikkerhed, og beskyttelse mod BlueKeep er ingen undtagelse. Faktisk, nogle af de trin, der er skitseret ovenfor, for eksempel, installation af en 2FA program såsom ESET Secure Authentication, kan hjælpe med at sikre dine netværk fra ubudne gæster og andre trusler samt.
yderligere information om RDP og BlueKeep findes på:
- CSO Online., Microsoft opfordrer customersindo .s-kunder til at patch wormormable RDP fejl. (15 Maj 2019)
- Beskrivelse af sikkerhedsopdateringen til fjernkørsel af programkode sårbarhed i Windows XP SP3, Windows Server 2003 SP2, Windows Server 2003 SP2 R2, Windows XP Professional x64 Edition SP2 Windows XP Embedded SP3, Windows Embedded POSReady 2009, og Windows Embedded Standard 2009. (17. juni 2019)
- kundevejledning til CVE-2019-0708 | Fjernskrivebordstjenester fjernkørsel af programkode sårbarhed: 14.maj 2019., (14. Maj 2019)
- CVE-2019-0708 | Remote Desktop Services Fjernkørsel af Programkode Sårbarhed. (14. maj 2019)
- Konfigurer Netværksniveaugodkendelse for forbindelser til Fjernskrivebordstjenester. (13. juni 2013)
- CVE-2019-0708. (udateret)
- NSA Cybersecurity Advisory: Patch Remote Desktop Services på ældre versioner af Windowsindo .s. (4 juni 2019)
- En update på Microsoft Windows RDP “BlueKeep” Sårbarhed (CVE-2019-0708) . (22 Maj 2019)
- US-CERT, Teknisk Alarm AA19-168A: Microsoft-Operativsystemer BlueKeep Sårbarhed., (17 juni 2019)
- første BlueKeep angreb hurtige friske advarsler. (11. November 2019)
- Microsoft advarer om nye BlueKeep-lignende fejl. (15. August 2019)
- BlueKeep-patching skrider ikke hurtigt nok. (17. juli 2019)
- NSA slutter sig til kor, der opfordrer usersindo .s-brugere til at lappe ‘BlueKeep’. (6 juni 2019)
- Patch nu! Hvorfor BlueKeep sårbarhed er en big deal. (22. maj 2019)
- intens scanningsaktivitet påvist for BlueKeep RDP-fejl. (26. maj 2019)
særlig tak til mine kolleger Ale Jonis Dorais-Joncas, Bruce P. Burrell, Michal F., Nick FitzGerald, Branislav O., Matúš P., Peter R., Peter Stančík, Štefan S., og andre kolleger fra ESET, for deres hjælp med denne artikel.
MITRE ATT&CK teknikker
Taktik | ID | Navn | Beskrivelse |
---|---|---|---|
Første Adgang | T1076 | Remote Desktop Protocol | BlueKeep udnytter en sårbarhed i Remote Desktop Protocol., |
T1133 | External Remote Services | BlueKeep exploits public-facing RDP servers on the Internet. | |
Command and Control | T1071 | Standard Application Layer Protocol | BlueKeep uses port 3389 by default for command and control. |
T1043 | Commonly Used Port | BlueKeep uses port 3389 by default for attack targeting. | |
Lateral Movement | T1210 | Exploitation of Remote Services | BlueKeep exploits public-facing RDP servers on the Internet., |
Afhjælpning | M1035 | Begrænse Adgangen til Ressourcer Over netværk | Undgå BlueKeep indtrængning om brug af VPN-gateway. |
M1050 | e .ploit beskyttelse | forhindre BlueKeep indtrængen gennem brug af udnytte beskyttelse i endpoint sikkerhed. | |
M1032 | Multi-faktor-Autentificering | Brug MFA for alle logins, der udføres via RDP. | |
M1031 | forebyggelse netværk indtrængen | forhindre BlueKeep indtrængen gennem brug af netværksbeskyttelse i endpoint sikkerhed., | |
M1051 | Opdatering af Software | Undgå BlueKeep udnyttelse via installation af CVE-2019-0708 patch eller opgradere til ikke-sårbar version af operativsystemet. | |
M1049 | Antivirus/Antimalware | Undgå BlueKeep angreb kode i at køre gennem brug af endpoint security. |
bruger du stadig computere, der er sårbare over for BlueKeep? Hjalp ESET ‘ s BlueKeep (CVE-2019-0708) sårbarhedskontrol? Hvis ja, hvilke skridt har du taget for at afbøde udnyttelse? Vær sikker på at lade os vide, nedenfor!,