los ataques de fuerza bruta y los exploits BlueKeep usurpan la comodidad de las conexiones RDP directas; ESET lanza una herramienta para probar sus máquinas Windows en busca de versiones vulnerables
mientras que la vulnerabilidad BlueKeep (CVE-2019-0708) no ha causado, hasta la fecha, estragos generalizados, y veremos las razones por las que en este post, todavía está muy temprano en su ciclo de vida de explotación. El hecho es que muchos sistemas todavía no están parcheados, y una versión completamente wormable del exploit todavía podría ser encontrado. Debido a estos factores, ESET ha creado una utilidad gratuita para verificar si un sistema es vulnerable.,
a veces, tienes que decir algo sobre cosas que «ni hablar» y parece que la mejor manera de comenzar este post es mencionando solo eso, porque este no es un tema que esperaba tener que escribir en este día y edad. Antes de sumergirnos, comencemos por mirar una vieja máxima.
hay un viejo dicho en el campo de la seguridad de la información que si un adversario tiene acceso físico a su computadora, entonces ya no es su computadora. La razón de esto es bastante simple: una vez que los atacantes tienen sus manos en una computadora, pueden cambiar lo que quieran., Instalar dispositivos como keyloggers de hardware, eliminar unidades de disco y copiarlas, y de lo contrario eliminar, alterar o agregar cualquier cosa que quieran en el sistema se vuelve exponencialmente más fácil cuando se puede caminar hasta la computadora. Este no es un giro particularmente sorprendente de los acontecimientos, ni uno particularmente inteligente. Más bien, es una verdad inevitable. Para los adversarios, es solo parte de la descripción de su trabajo.
Sin embargo, las empresas, las escuelas y todo tipo de organizaciones no están ciegas a esto., Este tipo de lugares no ponen sus servidores en la recepción en el vestíbulo, área de Recepción, centro de visitantes, sala de espera u otros lugares donde el público o, posiblemente, cualquier empleado, Facultad, estudiante o personal puede entrar y obtener acceso físico a ellos. O, al menos, ningún negocio que quiera permanecer en el negocio permite esto. Por lo general, hay cierta separación de los servidores, ya sea que estén en su propia habitación dedicada, o incluso escondidos en alguna esquina trasera que está fuera de los límites de la mayoría del personal.,
sin embargo, a pesar de todo este conocimiento común, las lecciones aprendidas sobre seguridad en el mundo físico no siempre se transfieren bien (o correctamente) al mundo de internet. Hay muchos servidores que ejecutan varias versiones de los sistemas operativos de Microsoft Windows server que están conectados directamente a internet con lo que equivale a poca o ninguna seguridad práctica alrededor de quién puede acceder a ellos. Y eso nos lleva a la discusión del PDR.
¿qué es RDP?
RDP, abreviatura de Remote Desktop Protocol, permite que una computadora se conecte a otra computadora a través de una red para usarla de forma remota., En un dominio, los equipos que ejecutan un sistema operativo cliente Windows, como Windows XP o Windows 10, vienen con software cliente RDP preinstalado como parte del sistema operativo, lo que les permite conectarse a otros equipos de la red, incluidos los servidores de la organización. Una conexión a un servidor en este caso significa que podría ser directamente al sistema operativo del servidor, o podría ser a un sistema operativo que se ejecuta dentro de una máquina virtual en ese servidor., Desde esa conexión, una persona puede abrir directorios, descargar y cargar archivos y ejecutar programas, al igual que si utilizara el teclado y el monitor conectados a ese servidor.
RDP fue inventado por Citrix en 1995 y vendido como parte de una versión mejorada de Windows NT 3.51 llamada WinFrame. En 1998, Microsoft añadió RDP a Windows NT 4.0 Terminal Server Edition., Desde entonces, el protocolo ha sido parte de todas las versiones de la línea de sistemas operativos Windows Server de Microsoft, además de ser incluido con todas las ediciones de usuarios no domésticos de los sistemas operativos cliente de Windows desde que Windows XP fue lanzado en 2001. Hoy en día, los usuarios comunes de RDP incluyen administradores de sistemas que realizan la administración remota de servidores desde sus cubículos sin tener que ir a la sala de servidores, así como trabajadores remotos que pueden conectarse a máquinas de escritorio virtualizadas dentro del dominio de su organización.
¿qué hacen los atacantes con RDP?,
durante los últimos años, ESET ha visto un número creciente de incidentes en los que los atacantes se han conectado de forma remota a un servidor Windows desde internet mediante RDP y han iniciado sesión como administrador del equipo. Una vez que los atacantes han iniciado sesión en el servidor como administrador, normalmente realizarán algún reconocimiento para determinar para qué se usa el servidor, quién lo usa y cuándo se usa.
una vez que los atacantes conocen el tipo de servidor del que tienen control, pueden comenzar a realizar acciones maliciosas.,s que hemos visto incluyen:
- borrar archivos de registro que contienen evidencia de su presencia en el sistema
- deshabilitar copias de seguridad programadas y copias sombra
- deshabilitar el software de seguridad o configurar exclusiones en él (que está permitido para los administradores)
- descargar e instalar varios programas en el servidor
- borrar o sobrescribir copias de seguridad antiguas, si son accesibles
- exfiltrar datos del servidor
esto no es una lista completa de todas las cosas que un atacante puede hacer, ni un atacante necesariamente va a realizar todas estas actividades., Los atacantes pueden conectarse varias veces durante días o solo una vez, si tienen una agenda predeterminada., Si bien la naturaleza exacta de lo que harán los atacantes varía mucho, dos de los más comunes son:
- instalar programas de minería de monedas para generar criptomonedas, como Monero
- instalar ransomware para extorsionar a la organización, a menudo para ser pagado usando criptomonedas, como bitcoin
en algunos casos, los atacantes pueden instalar software de control remoto adicional para mantener el acceso (persistencia) a servidores comprometidos en caso de que sus actividades de RDP sean descubiertas y terminadas.,
no hemos visto servidores comprometidos tanto para extorsionar a través de ransomware como para minar criptomonedas, pero hemos visto casos en los que un servidor fue comprometido por un atacante para minar criptomonedas, luego comprometido por otros atacantes que cambiaron el minero de monedas para que los ingresos fueran a ellos, en su lugar. Parece que hay poco honor entre los ladrones.
El conocimiento sobre los ataques RDP ha llegado a un punto en el que incluso los estafadores de sextorsión están incorporando la mención de ello en sus notas de rescate en un intento de hacer que sus estafas suenen más legítimas.,
la Figura 1. Imagen de sextortion email scam mencionando RDP
para obtener más información sobre estos tipos de estafas de correo electrónico, recomiendo esta serie de artículos de mi colega Bruce P. Burrell: Parte I, Parte II y Parte III.
ataques masivos RDP
Los ataques realizados con RDP han sido lentos, pero constantemente, en aumento, y están sujetos a una serie de advertencias gubernamentales del FBI, el NCSC del Reino Unido, el CCCS de Canadá y el ACSC de Australia, por nombrar algunos.,
sin embargo, en mayo de 2019 las compuertas se abrieron con la llegada de CVE-2019-0708, también conocido como «BlueKeep», una vulnerabilidad de seguridad en RDP que afecta a Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 y Windows Server 2008 R2. En el escritorio, Windows 8 y versiones posteriores, y en los servidores, Windows Server 2012 y versiones posteriores, no se ven afectados.
la vulnerabilidad BlueKeep permite a los atacantes ejecutar código de programa arbitrario en las computadoras de sus víctimas., Si bien incluso los atacantes individuales pueden ser una amenaza generalizada porque pueden usar herramientas automatizadas para ataques, esta vulnerabilidad es «wormable», lo que significa que un ataque podría propagarse automáticamente a través de las redes sin ninguna intervención de los usuarios, al igual que el Win32/Diskcoder.C (también conocido como NotPetya) y Conficker gusanos tienen en el pasado.
La explotación de vulnerabilidades wormables generalmente se considera un problema grave., Microsoft ha asignado a la vulnerabilidad su nivel de gravedad más alto, crítico, en su guía publicada para clientes, y en la base de Datos Nacional de vulnerabilidades del gobierno de EE.UU., la entrada para CVE-2019-0708 se puntúa como 9.8 sobre 10. Microsoft publicó una publicación en el blog en la que recomendaba encarecidamente que los usuarios instalaran sus parches, incluidos los de sistemas operativos fuera de soporte como Windows XP y Windows Server 2003., Las preocupaciones sobre un exploit wormable eran tan altas que, a principios de junio, la Agencia de Seguridad Nacional de Estados Unidos emitió un aviso raro recomendando la instalación de parches de Microsoft para el defecto.
a principios de septiembre, Rapid7, el desarrollador de la herramienta de pentesting Metasploit, anunció el lanzamiento de un exploit BlueKeep. Si bien no se informó de ninguna escalada importante en la actividad de BlueKeep durante los próximos meses, esto ha cambiado recientemente. A principios de noviembre, los informes masivos de explotación de BlueKeep se hicieron públicos, como señalaron ZDNet y WIRED, entre otros medios de comunicación., Según los informes, los ataques han sido menos que exitosos, con alrededor del 91% de los equipos vulnerables que se estrellan con un error de parada (también conocido como Bug check o pantalla azul de la muerte) cuando el atacante intenta explotar la vulnerabilidad BlueKeep. Sin embargo, en el 9% restante de las computadoras vulnerables, estos atacantes instalaron con éxito el software de criptominería Monero. Por lo tanto, si bien no es el temido ataque wormable, parece que un grupo criminal ha automatizado la explotación, aunque sin una alta tasa de éxito.,
Cuando empecé a escribir esta entrada de blog, no era mi intención entrar en una descripción detallada de la vulnerabilidad, ni era para proporcionar una línea de tiempo de su explotación: mi objetivo era proporcionar a los lectores con una comprensión de lo que debe hacerse para protegerse contra esta amenaza. Entonces, echemos un vistazo a lo que hay que hacer.
defensa contra atacantes basados en RDP
así que, con todo eso en mente, ¿qué puedes hacer? Bueno, lo primero, obviamente, es dejar de conectarse directamente a sus servidores a través de Internet utilizando RDP., Esto puede ser problemático para algunas empresas, porque puede haber algunas razones aparentemente legítimas para esto. Sin embargo, con la compatibilidad con Windows Server 2008 y Windows 7 que finaliza en enero de 2020, tener equipos que ejecutan estos y ser directamente accesibles mediante RDP a través de internet representa un riesgo para su negocio que ya debería estar planeando mitigar.
esto no significa que deba dejar de usar RDP de inmediato, sino que debe tomar medidas adicionales para asegurarlo tan pronto como sea posible., Con este fin, hemos creado una tabla con los diez pasos principales que puede tomar para comenzar a proteger sus computadoras de ataques basados en RDP.
Recomendación para asegurar RDP | Razón |
---|---|
1. No permitir conexiones externas a máquinas locales en el puerto 3389 (TCP / UDP) en el firewall perimetral.* | bloquea el acceso RDP desde internet. |
2., Pruebe e implemente parches para la vulnerabilidad CVE-2019-0708 (BlueKeep) y habilite la autenticación a nivel de red lo más rápido posible. | instalar el parche de Microsoft y seguir sus directrices prescriptivas ayuda a garantizar que los dispositivos estén protegidos contra la vulnerabilidad BlueKeep. |
3. Para todas las cuentas que se pueden iniciar sesión a través de RDP requieren contraseñas complejas (una frase de contraseña larga que contenga más de 15 caracteres sin frases relacionadas con el negocio, los nombres de productos o los usuarios es obligatoria). | protege contra la adivinación de contraseñas y ataques de relleno de credenciales., Es increíblemente fácil automatizar estos, y el aumento de la longitud de una contraseña los hace exponencialmente más resistentes a este tipo de ataques. |
4. Instale la autenticación de dos factores (2FA) y, como mínimo, requiérala en todas las cuentas que se pueden iniciar sesión a través de RDP. | requiere una segunda capa de autenticación solo disponible para los empleados a través del teléfono móvil, token u otro mecanismo para iniciar sesión en los ordenadores. |
5. Instale una puerta de enlace de red privada virtual (VPN) para operar todas las conexiones RDP desde fuera de su red local., | evita las conexiones RDP entre internet y su red local. Le permite imponer requisitos de identificación y autenticación más estrictos para el acceso remoto a los equipos. |
6. Proteja con contraseña el software de seguridad de endpoints mediante una contraseña segura no relacionada con las cuentas administrativas y de servicio. | proporciona una capa adicional de protección en caso de que un atacante obtenga acceso de administrador a su red. |
7. Habilite el bloqueo de explotación en el software de seguridad de endpoints., | muchos programas de seguridad para endpoints también pueden bloquear técnicas de explotación. Compruebe que esta funcionalidad está habilitada. |
8. Aísle cualquier equipo inseguro al que necesite acceder desde internet mediante RDP. | implementar aislamiento de red para bloquear equipos vulnerables del resto de la red. |
9. Reemplace equipos inseguros. | si un equipo no puede ser parcheado contra la vulnerabilidad BlueKeep, planee su reemplazo oportuno. |
10. Considere instituir el bloqueo geoIP en VPN gateway., | si el personal y los proveedores están en el mismo país, o una lista corta de Países, considere bloquear el acceso desde otros países para evitar conexiones de atacantes extranjeros. |
*Por defecto, RDP opera en el puerto 3389. Si ha cambiado este puerto a un valor diferente, entonces ese es el puerto que debe bloquearse.
esta tabla se basa libremente en el orden de importancia y la facilidad de implementación, pero eso puede variar dependiendo de su organización., Algunos de estos pueden no ser aplicables a su organización, o puede ser más práctico hacerlos en un orden diferente, o puede haber pasos adicionales que su organización necesita tomar.
debe verificar que su software de seguridad de punto final detecta la vulnerabilidad BlueKeep. BlueKeep se detecta como RDP / Exploit.CVE-2019-0708 por el módulo de protección contra ataques de red de ESET, que es una extensión de la tecnología de firewall de ESET presente en ESET Internet Security y ESET Smart Security Premium Para consumidores, y los programas de protección de endpoints de ESET para empresas.,
Figura 2. Explicación de la tecnología antimalware de ESET: protección contra ataques de red
sin embargo, debe tenerse en cuenta que hay escenarios en los que la detección puede no ocurrir, como el exploit que primero bloquea el sistema porque no es confiable. Para que sea más eficaz, tendría que estar emparejado con otro exploit, como una vulnerabilidad de divulgación de información que revela las direcciones de memoria del núcleo para que ya no sea necesario adivinarlas., Esto podría reducir la cantidad de bloqueos, ya que el exploit actual realiza un spray de montón tan grande.
si está utilizando software de seguridad de otro proveedor, consulte con ellos para ver si BlueKeep se detecta y cómo.
tenga en cuenta que estos pasos representan solo el comienzo de lo que puede hacer para protegerse contra ataques RDP. Si bien tener detección de ataques es un buen comienzo, no es un sustituto para parchear o reemplazar equipos vulnerables. Su personal de seguridad de la información y sus socios de seguridad de confianza pueden proporcionarle orientación adicional específica para su entorno.,
utilizando el Comprobador de vulnerabilidades BlueKeep (CVE-2019-0708) de ESET
ESET ha lanzado una herramienta gratuita BlueKeep (CVE-2019-0708) para verificar si un equipo que ejecuta Windows es vulnerable a la explotación. A partir del momento de la publicación, la herramienta se puede descargar desde:
(asegúrese de consultar la página de herramientas y utilidades de ESET para ver las versiones más recientes)
Este programa ha sido probado contra las versiones de 32 bits y 64 bits de Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 y Windows Server 2008 R2 antes y después de aplicar las actualizaciones de Microsoft para BlueKeep., Para usar el programa, ejecute el ejecutable. No hay argumentos de línea de comandos para usar con la versión inicial.
cuando se ejecuta, el programa informará si el sistema es vulnerable a la explotación, si el sistema está parcheado contra la explotación, o si el sistema no es vulnerable a la explotación BlueKeep. En caso de que el sistema sea vulnerable, la herramienta llevará al usuario a la página web para descargar el parche apropiado en el sitio web de Microsoft.,
si bien esta es una herramienta de un solo propósito diseñada para uso personal y no está destinada a ser implementada para uso masivo en un entorno automatizado, tiene informes de errores limitados. Para scripting, la herramienta devuelve un nivel de error de cero si el sistema está protegido, y uno si es vulnerable o se ha producido un error.
la Figura 3. Ejemplo de ejecución de la herramienta en un sistema Windows 7 sin parches
Figura 4., Ejemplo de ejecución de la herramienta en el sistema Windows 7 parcheado
Figura 5. Ejemplo de ejecución de la herramienta en el sistema Windows 10 no vulnerable
Pensamientos finales y lectura adicional
mientras que la explotación BlueKeep nunca puede llegar a ser generalizada, su inclusión en las herramientas de pentesting significa que se convertirá en una parte permanente de las pruebas de seguridad internas. Así que, la solución real para prevenir la explotación BlueKeep es eliminar los dispositivos vulnerables de la red de su empresa.,
sin embargo, es posible que no siempre sea posible hacerlo porque un dispositivo vulnerable ocupa un papel crítico en el negocio, debido al costo o por otras razones. Durante mucho tiempo hemos abogado por adoptar un enfoque por capas para la seguridad, y la protección contra BlueKeep no es una excepción. De hecho, algunos de los pasos descritos anteriormente, por ejemplo, instalar una aplicación 2FA como ESET Secure Authentication, pueden ayudar a proteger sus redes de intrusos y otras amenazas también.
Puede encontrar más información sobre RDP y BlueKeep en:
- CSO Online., Microsoft insta a los clientes de Windows a parchear el defecto RDP wormable. (15 de mayo de 2019)
- Descripción de la actualización de seguridad para la vulnerabilidad de ejecución de código remoto en Windows XP SP3, Windows Server 2003 SP2, Windows Server 2003 SP2 R2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 y Windows Embedded Standard 2009. (17 de junio de 2019)
- orientación al Cliente para CVE-2019-0708 | vulnerabilidad de ejecución de código remoto de servicios de Escritorio remoto: 14 de mayo de 2019., (14 de mayo de 2019)
- CVE-2019-0708 | vulnerabilidad de ejecución remota de código de servicios de Escritorio remoto. (14 de mayo de 2019)
- configurar la autenticación de nivel de red para conexiones de servicios de Escritorio remoto. (13 de junio de 2013)
- CVE-2019-0708. (sin fecha)
- Aviso de CiberSeguridad de la NSA: parche de servicios de Escritorio remoto en versiones heredadas de Windows. (4 Junio 2019)
- Una actualización de la vulnerabilidad Microsoft Windows RDP «BlueKeep» (CVE-2019-0708) . (22 May 2019)
- US-CERT, Technical Alert AA19-168A: Microsoft Operating Systems BlueKeep Vulnerability., (17 de junio de 2019)
- Los primeros ataques BlueKeep generan nuevas advertencias. (11 de noviembre de 2019)
- Microsoft advierte de nuevos defectos similares a BlueKeep. (15 de agosto de 2019)
- El parche BlueKeep no avanza lo suficientemente rápido. (17 de julio de 2019)
- NSA se une a chorus instando a los usuarios de Windows a parchear ‘BlueKeep’. (6 de junio de 2019)
- ¡Patch now! Por qué la vulnerabilidad BlueKeep es un gran problema. (22 de mayo de 2019)
- intensa actividad de escaneo detectada para bluekeep RDP defecto. (26 de mayo de 2019)
agradecimiento especial a mis colegas Alexis Dorais-Joncas, Bruce P. Burrell, Michal F.,, Nick FitzGerald, Branislav O., Matúš P., Peter R., Peter Stančík, Štefan S., y otros colegas de ESET por su ayuda con este artículo.
MITRE ATT&CK técnicas
Táctica | ID | Nombre | Descripción |
---|---|---|---|
Acceso | T1076 | Protocolo de Escritorio Remoto | BlueKeep aprovecha una vulnerabilidad en el Protocolo de Escritorio Remoto., |
T1133 | External Remote Services | BlueKeep exploits public-facing RDP servers on the Internet. | |
Command and Control | T1071 | Standard Application Layer Protocol | BlueKeep uses port 3389 by default for command and control. |
T1043 | Commonly Used Port | BlueKeep uses port 3389 by default for attack targeting. | |
Lateral Movement | T1210 | Exploitation of Remote Services | BlueKeep exploits public-facing RDP servers on the Internet., |
mitigación | M1035 | limite el acceso a los recursos a través de la red | Evite el ingreso de BlueKeep a través del uso de VPN gateway. |
M1050 | Explotar Protección | Evitar BlueKeep la entrada a través del uso de aprovechar la protección de endpoint security. | |
M1032 | autenticación multifactor | utilice MFA para todos los inicios de sesión realizados a través de RDP. | |
M1031 | prevención de intrusiones de red | evite la entrada de BlueKeep mediante el uso de protección de red en endpoint security., | |
M1051 | actualizar el Software | evitar la explotación BlueKeep a través de la instalación del parche CVE-2019-0708 o actualizar a la versión del sistema operativo no vulnerable. | |
M1049 | Antivirus / Antimalware | evitar que el código de ataque BlueKeep se ejecute a través del uso de endpoint security. |
Se sigue utilizando equipos vulnerables a BlueKeep? ¿Ayudó el Comprobador de vulnerabilidades BlueKeep (CVE-2019-0708) de ESET? En caso afirmativo, ¿qué medidas ha adoptado para mitigar la explotación? Asegúrese de hacernos saber, a continuación!,