Les attaques par force Brute et les exploits BlueKeep usurpent la commodité des connexions RDP directes; ESET publie un outil pour tester vos machines Windows pour les versions vulnérables
bien que la vulnérabilité BlueKeep (CVE-2019-0708) n’ait pas, à ce jour, causé de ravages généralisés, et nous examinerons les raisons pour lesquelles dans cet article, elle est encore très tôt dans son cycle de vie d’exploitation. Le fait demeure que de nombreux systèmes ne sont toujours pas corrigés, et une version complètement wormable de l’exploit pourrait encore être trouvée. En raison de ces facteurs, ESET a créé un utilitaire gratuit pour vérifier si un système est vulnérable.,
parfois, vous devez dire quelque chose sur des choses qui « vont sans dire” et il semble que la meilleure façon de commencer ce post est de mentionner cela, car ce n’est pas un sujet sur lequel je m’attendais à devoir écrire de nos jours. Avant de plonger, commençons par regarder une vieille maxime.
Il existe un vieux dicton dans le domaine de la sécurité de l’information selon lequel si un adversaire a un accès physique à votre ordinateur, ce n’est plus votre ordinateur. La raison en est assez simple: une fois que les attaquants ont les mains sur un ordinateur, ils peuvent changer tout ce qu’ils veulent., L’installation de périphériques tels que les enregistreurs de frappe matériels, la suppression de lecteurs de disque et leur copie, et la suppression, la modification ou l’ajout de tout ce qu’ils veulent sur le système deviennent exponentiellement plus faciles lorsque vous pouvez marcher jusqu’à l’ordinateur. Ce n’est pas une tournure des événements particulièrement surprenante, ni particulièrement intelligente. Plutôt, il est un incontournable de la vérité. Pour les adversaires, c’est juste une partie de leur description de poste.
Les entreprises, les écoles et toutes sortes d’organisations ne sont pas aveugles à cela, cependant., Ces types d’endroits ne mettent pas leurs serveurs à la réception dans le hall, la réception, le centre d’accueil, la salle d’attente ou d’autres endroits où le public ou, peut-être, tout employé, Faculté, étudiant ou personnel peut entrer et avoir un accès physique à eux. Ou, du moins, aucune entreprise qui veut rester en affaires ne le permet. Habituellement, il y a une certaine séparation des serveurs, qu’ils soient dans leur propre pièce dédiée, ou même cachés dans un coin arrière qui est interdit à la plupart du personnel.,
pourtant, malgré toutes ces connaissances communes, les leçons apprises sur la sécurité dans le monde physique ne se transfèrent pas toujours bien (ou correctement) dans le monde internet. Il existe de nombreux serveurs exécutant différentes versions des systèmes D’exploitation Microsoft Windows server qui sont directement connectés à internet avec ce qui équivaut à peu ou pas de sécurité pratique autour de qui peut y accéder. Et cela nous amène à la discussion de RDP.
qu’est-Ce que RDP?
RDP, abréviation de Remote Desktop Protocol, permet à un ordinateur de se connecter à un autre ordinateur via un réseau afin de l’utiliser à distance., Dans un domaine, les ordinateurs exécutant un système D’exploitation client Windows, tels que Windows XP ou Windows 10, sont livrés avec un logiciel client RDP préinstallé dans le cadre du système d’exploitation, ce qui leur permet de se connecter à d’autres ordinateurs du réseau, y compris les serveurs de l’organisation. Une connexion à un serveur dans ce cas signifie qu’elle peut être directement sur le serveur du système d’exploitation, ou peut être à un système d’exploitation fonctionnant à l’intérieur d’une machine virtuelle sur le serveur., À partir de cette connexion, une personne peut ouvrir des répertoires, télécharger et télécharger des fichiers et exécuter des programmes, comme si elle utilisait le clavier et le moniteur connectés à ce serveur.
RDP a été inventé par Citrix en 1995 et vendu dans le cadre d’une version améliorée de Windows NT 3.51 appelée WinFrame. En 1998, Microsoft a ajouté RDP à Windows NT 4.0 Terminal Server Edition., Depuis lors, le protocole fait partie de toutes les versions de la gamme de systèmes D’exploitation Windows Server de Microsoft, ainsi que d’être inclus avec toutes les éditions utilisateur non domestique des systèmes D’exploitation Client Windows depuis la sortie de Windows XP en 2001. Aujourd’hui, les utilisateurs courants de RDP comprennent les administrateurs système qui administrent à distance les serveurs depuis leurs cabines sans avoir à entrer dans la salle des serveurs, ainsi que les travailleurs distants qui peuvent se connecter à des ordinateurs de bureau virtualisés dans le domaine de leur organisation.
que font les attaquants avec RDP?,
Au cours des deux dernières années, ESET a connu un nombre croissant d’incidents où les attaquants se sont connectés à distance à un serveur Windows à partir d’internet en utilisant RDP et se sont connectés en tant qu’administrateur de l’ordinateur. Une fois que les attaquants sont connectés au serveur en tant qu’administrateur, ils effectuent généralement une reconnaissance pour déterminer à quoi sert le serveur, par qui et quand il est utilisé.
Une fois que les attaquants connaissent le type de serveur dont ils ont le contrôle, ils peuvent commencer à effectuer des actions malveillantes.,s que nous avons vu incluent:
- Effacer les fichiers journaux contenant des preuves de leur présence sur le système
- désactiver les sauvegardes planifiées et les shadow copies
- désactiver les logiciels de sécurité ou y configurer des exclusions (ce qui est autorisé pour les administrateurs)
- télécharger et installer divers programmes sur le serveur
- effacer ou écraser les anciennes sauvegardes, si elles sont accessibles
- exfiltrer les données du serveur
ce n’est pas une liste complète de toutes les choses qu’un attaquant peut faire, et un attaquant ne va pas nécessairement effectuer toutes ces activités., Les attaquants peuvent se connecter plusieurs fois au fil des jours ou une seule fois, s’ils ont un agenda prédéterminé., Bien que la nature exacte de ce que feront les attaquants varie considérablement, deux des plus courantes sont:
- installation de programmes d’extraction de pièces de monnaie afin de générer de la crypto-monnaie, comme Monero
- installation d’un ransomware afin d’extorquer de l’argent à l’organisation, souvent à payer en utilisant de la crypto-monnaie, comme bitcoin
Dans certains cas, les attaquants peuvent installer un logiciel de contrôle à distance supplémentaire pour maintenir l’accès (persistance) aux serveurs compromis au cas où leurs activités RDP seraient découvertes et interrompues.,
nous n’avons vu aucun serveur compromis à la fois pour extorquer via un ransomware et pour extraire de la crypto-monnaie, mais nous avons vu des cas où un serveur a été compromis par un attaquant pour extraire de la crypto-monnaie, puis plus tard compromis par d’autres attaquants qui ont changé le mineur de pièces de monnaie afin que le produit Il semble qu’il y ait peu d’honneur parmi les voleurs.
La connaissance autour des attaques RDP a atteint un point que même les escrocs de sextorsion en intègrent la mention dans leurs notes de rançon dans le but de rendre leurs escroqueries plus légitimes.,
la Figure 1. Image de sextorsion email scam mentionnant RDP
Pour plus d’informations sur ces types d’escroqueries par e-mail, je recommande cette série d’articles de mon collègue Bruce P. Burrell: Part I, Part II et Part III.
attaques de masse RDP
Les Attaques effectuées avec RDP ont augmenté lentement, mais régulièrement, et ont fait l’objet d’un certain nombre d’avis gouvernementaux du FBI, du NCSC du Royaume-Uni, du CCCS du Canada et de L’ACSC de L’Australie, pour n’en nommer que quelques-uns.,
Cependant, en mai 2019, les vannes se sont ouvertes avec L’arrivée de CVE-2019-0708, alias « BlueKeep”, une vulnérabilité de sécurité dans RDP affectant Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 et Windows Server 2008 R2. Sur le bureau, Windows 8 et versions ultérieures, et sur les serveurs, Windows Server 2012 et versions ultérieures, ne sont pas affectés.
la vulnérabilité BlueKeep permet aux attaquants d’exécuter du code de programme arbitraire sur les ordinateurs de leurs victimes., Alors que même les attaquants individuels peuvent être une Menace généralisée parce qu’ils peuvent utiliser des outils automatisés pour les attaques, cette vulnérabilité est « wormable”, ce qui signifie qu’une attaque pourrait se propager automatiquement à travers les réseaux sans aucune intervention des utilisateurs, tout comme le Win32/Diskcoder.C (aka NotPetya) et Conficker worms ont dans le passé.
L’Exploitation des vulnérabilités vermifuges est généralement considérée comme un problème grave., Microsoft a attribué à la vulnérabilité son niveau de gravité le plus élevé, critique, dans ses conseils publiés pour les clients, et dans la base de données nationale sur les vulnérabilités du gouvernement américain, L’entrée pour CVE-2019-0708 est notée 9.8 sur 10. Microsoft a publié un article de blog recommandant fortement aux utilisateurs d’installer ses correctifs, y compris ceux pour les systèmes d’exploitation hors support tels que Windows XP et Windows Server 2003., Les préoccupations concernant un exploit wormable étaient si élevées que, début juin, la National Security Agency des États-Unis a publié un avis rare recommandant l’installation des correctifs de Microsoft pour la faille.
début septembre, Rapid7, le développeur de L’outil de pentesting Metasploit, a annoncé la sortie d’un exploit BlueKeep. Bien qu’aucune escalade majeure dans L’activité BlueKeep n’ait été signalée pour les deux prochains mois,cela a récemment changé. Au début de novembre, des rapports de masse sur L’exploitation de BlueKeep sont devenus publics, comme l’ont noté ZDNet et WIRED, entre autres organes de presse., Les attaques auraient été moins que réussies, avec environ 91% des ordinateurs vulnérables plantant avec une erreur d’arrêt (aka bug check ou écran bleu de la mort) lorsque l’attaquant tente d’exploiter la vulnérabilité BlueKeep. Cependant, sur les 9% restants des ordinateurs vulnérables, ces attaquants ont installé avec succès le logiciel de cryptomination Monero. Ainsi, bien que ce ne soit pas l’attaque wormable redoutée, il semble qu’un groupe criminel ait automatisé l’exploitation, mais sans un taux de réussite élevé.,
lorsque j’ai commencé à écrire ce billet de blog, mon intention n’était pas d’entrer dans une description détaillée de la vulnérabilité, ni de fournir une chronologie de son exploitation: mon objectif était de fournir aux lecteurs une compréhension de ce qui doit être fait pour se protéger contre cette menace. Alors, jetons un coup d’oeil à ce qui doit être fait.
défendre contre les attaquants portés par RDP
alors, avec tout cela à l’esprit, que pouvez-vous faire? Eh bien, la première chose, évidemment, est d’arrêter de se connecter directement à vos serveurs sur internet en utilisant RDP., Cela peut être problématique pour certaines entreprises, car il peut y avoir des raisons apparemment légitimes à cela. Cependant, avec la prise en charge de Windows Server 2008 et Windows 7 se terminant en janvier 2020, avoir des ordinateurs qui les exécutent et être directement accessibles à L’aide de RDP via internet représente un risque pour votre entreprise que vous devriez déjà prévoir d’atténuer.
Cela ne signifie pas que vous devez arrêter d’utiliser RDP, mais que vous avez besoin de prendre des mesures additionnelles pour assurer dès et aussi rapidement que possible., À cette fin, nous avons créé un tableau avec les dix principales étapes que vous pouvez suivre pour commencer à sécuriser vos ordinateurs contre les attaques basées sur RDP.
| Recommandation pour la sécurisation des RDP | Raison |
|---|---|
| 1. Interdire les connexions externes aux machines locales sur le port 3389 (TCP / UDP) au niveau du pare-feu périmétrique.* | bloque L’accès RDP à partir d’internet. |
| 2., Testez et déployez des correctifs pour la vulnérabilité CVE-2019-0708 (BlueKeep) et activez l’authentification au niveau réseau le plus rapidement possible. | L’installation du correctif de Microsoft et le respect de ses directives normatives permettent de s’assurer que les appareils sont protégés contre la vulnérabilité BlueKeep. |
| 3. Pour tous les comptes qui peuvent être connectés via RDP nécessitent des mots de passe complexes (une longue phrase de passe contenant plus de 15 caractères sans phrases liées à l’entreprise, aux noms de produits ou aux utilisateurs est obligatoire). | protège contre les attaques de devinettes de mots de passe et de bourrage d’informations d’identification., Il est incroyablement facile de les automatiser, et l’augmentation de la longueur d’un mot de passe les rend exponentiellement plus résistants à de telles attaques. |
| 4. Installez l’authentification à deux facteurs (2FA) et exigez-la au minimum sur tous les comptes auxquels vous pouvez vous connecter via RDP. | nécessite une deuxième couche d’authentification uniquement disponible pour les employés via un téléphone mobile, un jeton ou un autre mécanisme de connexion aux ordinateurs. |
| 5. Installez une passerelle de réseau privé virtuel (VPN) pour broker toutes les connexions RDP à partir de l’extérieur de votre réseau local., | Empêche les connexions RDP entre internet et votre réseau local. Vous permet d’appliquer des exigences d’identification et d’authentification plus strictes pour l’accès à distance aux ordinateurs. |
| 6. Protection par mot de passe du logiciel de sécurité des terminaux à l’aide d’un mot de passe fort sans rapport avec les comptes d’administration et de service. | fournit une couche de protection supplémentaire si un attaquant obtient un accès administrateur à votre réseau. |
| 7. Activez le blocage de l’exploitation dans le logiciel endpoint security., | de nombreux programmes de sécurité des terminaux peuvent également bloquer les techniques d’exploitation. Vérifiez que cette fonctionnalité est activée. |
| 8. Isolez tout ordinateur non sécurisé qui doit être accessible à partir d’internet à l’aide de RDP. | implémentez l’isolation réseau pour bloquer les ordinateurs vulnérables du reste du réseau. |
| 9. Remplacez les ordinateurs non sécurisés. | si un ordinateur ne peut pas être corrigé contre la vulnérabilité BlueKeep, planifiez son remplacement en temps opportun. |
| 10. Envisagez d’instituer le blocage geoIP sur la passerelle VPN., | si le personnel et les fournisseurs se trouvent dans le même pays, ou dans une courte liste de pays, envisagez de bloquer l’accès depuis d’autres pays afin d’empêcher les connexions d’attaquants étrangers. |
*Par défaut, le protocole RDP fonctionne sur le port 3389. Si vous avez changé ce port en une valeur différente, c’est le port qui doit être bloqué.
Ce tableau est vaguement basé sur l’ordre d’importance et la facilité de mise en œuvre, mais cela peut varier en fonction de votre organisation., Certains d’entre eux peuvent ne pas s’appliquer à votre organisation, ou il peut être plus pratique de les faire dans un ordre différent, ou il peut y avoir des mesures supplémentaires que votre organisation doit prendre.
Vous devez vérifier que votre logiciel endpoint security détecte la vulnérabilité BlueKeep. BlueKeep est détecté comme RDP / Exploit.CVE-2019-0708 par le module de protection contre les attaques réseau D’ESET, qui est une extension de la technologie de pare-feu D’ESET présente dans ESET Internet Security et ESET Smart Security Premium pour les consommateurs, et les programmes de protection des terminaux D’ESET pour les entreprises.,
Figure 2. ESET Antimalware Technology explained: protection contre les attaques réseau
Il convient de noter, cependant, qu’il existe des scénarios où la détection peut ne pas se produire, comme l’exploit premier plantage du système parce qu’il n’est pas fiable. Pour qu’il soit plus efficace, il devrait être associé à un autre exploit, comme une vulnérabilité de divulgation d’informations qui révèle les adresses de mémoire du noyau afin qu’elles n’aient plus besoin d’être devinées., Cela pourrait réduire le nombre de plantages, car l’exploit actuel effectue un tel jet de tas.
Si vous utilisez un logiciel de sécurité d’un autre fournisseur, vérifiez avec lui si BlueKeep est détecté et comment.
gardez à l’esprit que ces étapes ne représentent que le début de ce que vous pouvez faire pour vous protéger contre les attaques RDP. Bien que la détection des attaques soit un bon début, elle ne remplace pas les correctifs ou le remplacement des ordinateurs vulnérables. Votre personnel de sécurité de l’information et vos partenaires de sécurité de confiance peuvent vous fournir des conseils supplémentaires spécifiques à votre environnement.,
Utilisation du vérificateur de vulnérabilité BLUEKEEP (CVE-2019-0708) D’ESET
ESET a publié un outil gratuit BlueKeep (CVE-2019-0708) pour vérifier si un ordinateur exécutant Windows est vulnérable à l’exploitation. Au moment de la publication, L’outil peut être téléchargé à partir de:
(assurez-vous de consulter la page Outils et utilitaires D’ESET pour les versions plus récentes)
Ce programme a été testé contre les versions 32 bits et 64 bits de Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 et Windows Server 2008 R2 avant et après l’application des mises à jour de Microsoft pour BlueKeep., Pour utiliser le programme, exécutez le fichier exécutable. Il n’y a pas d’arguments de ligne de commande à utiliser avec la version initiale.
Lorsqu’il est exécuté, le programme prendra en compte si le système est vulnérable à l’exploitation, si le système est patché contre l’exploitation, ou si le système n’est pas vulnérable à BlueKeep exploitation. Dans le cas où le système est vulnérable, l’outil amènera l’utilisateur à la page web pour télécharger le correctif approprié sur le site Web de Microsoft.,
bien qu’il s’agisse d’un outil à usage unique destiné à un usage personnel et qui n’est pas destiné à être déployé pour une utilisation en masse dans un environnement automatisé, il comporte des rapports d’erreurs limités. Pour les scripts, L’outil renvoie un ERRORLEVEL de zéro si le système est protégé, et un s’il est vulnérable ou qu’une erreur s’est produite.
la Figure 3. Exemple d’exécution de l’outil sur le non corrigés système Windows 7
la Figure 4., Exemple d’exécution de l’outil sur patché système Windows 7
la Figure 5. Exemple d’exécution d’un outil sur un système Windows 10 non vulnérable
réflexions finales et lectures supplémentaires
bien que L’exploitation BlueKeep ne se généralise peut-être jamais, son inclusion dans les outils pentesting signifie qu’elle deviendra une partie permanente des tests de sécurité internes. Ainsi, la véritable solution pour empêcher L’exploitation BlueKeep consiste à supprimer les appareils vulnérables du réseau de votre entreprise.,
cependant, il n’est pas toujours possible de le faire parce qu’un appareil vulnérable occupe un rôle critique dans l’entreprise, en raison du coût ou pour d’autres raisons. Nous préconisons depuis longtemps une approche multicouche de la sécurité, et la protection contre BlueKeep ne fait pas exception. En fait, certaines des étapes décrites ci-dessus, par exemple, l’installation d’une application 2FA telle que ESET Secure Authentication, peuvent également aider à sécuriser vos réseaux contre les intrus et autres menaces.
de plus amples informations sur RDP et BlueKeep sont disponibles à L’adresse suivante:
- CSO Online., Microsoft exhorte les clients Windows à corriger la faille RDP wormable. (15 mai 2019)
- Description de la mise à jour de sécurité de la vulnérabilité d’exécution de code à distance dans Windows XP SP3, Windows Server 2003 SP2, Windows Server 2003 SP2 R2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 et Windows Embedded Standard 2009. (17 juin 2019)
- conseils clients pour CVE-2019-0708 | vulnérabilité D’exécution de Code à distance des Services De Bureau À Distance: 14 mai 2019., (14 mai 2019)
- CVE-2019-0708 | vulnérabilité D’exécution de Code à distance des Services De Bureau À Distance. (14 mai 2019)
- configurer L’authentification au niveau réseau pour les connexions des services de Bureau À Distance. (13 juin 2013)
- CVE-2019-0708. (non daté)
- NSA Cybersecurity Advisory: Patch Remote Desktop Services sur les versions héritées de Windows. (4 juin 2019)
- Une mise à jour sur la vulnérabilité Microsoft Windows RDP « BlueKeep” (CVE-2019-0708). (22 mai 2019)
- US-CERT, alerte technique AA19-168a: vulnérabilité Microsoft Operating Systems BlueKeep., (17 juin 2019)
- Les premières attaques BlueKeep provoquent de nouveaux avertissements. (11 novembre 2019)
- Microsoft met en garde contre de nouvelles failles de type BlueKeep. (15 août 2019)
- Les correctifs BlueKeep ne progressent pas assez vite. (17 juillet 2019)
- NSA rejoint chorus exhortant les utilisateurs de Windows à patcher « BlueKeep ». (6 juin 2019)
- Patch maintenant! Pourquoi la vulnérabilité BlueKeep est un gros problème. (22 mai 2019)
- une activité de balayage Intense détectée pour la faille RDP BlueKeep. (26 mai 2019)
remerciements particuliers à mes collègues Alexis Dorais-Joncas, Bruce P. Burrell, Michal F.,, Nick FitzGerald, Branislav O., Matúš P., Peter R., Peter Stančík, Štefan S., et d’autres collègues D’ESET pour leur aide avec cet article.
MITRE ATT&CK techniques
| Tactique | ID | Nom | Description |
|---|---|---|---|
| l’Accès Initial | T1076 | Protocole Bureau à Distance | BlueKeep exploite une vulnérabilité dans le Protocole Bureau à Distance., |
| T1133 | External Remote Services | BlueKeep exploits public-facing RDP servers on the Internet. | |
| Command and Control | T1071 | Standard Application Layer Protocol | BlueKeep uses port 3389 by default for command and control. |
| T1043 | Commonly Used Port | BlueKeep uses port 3389 by default for attack targeting. | |
| Lateral Movement | T1210 | Exploitation of Remote Services | BlueKeep exploits public-facing RDP servers on the Internet., |
| Atténuation | M1035 | Limiter l’Accès à des Ressources Sur le réseau | Prévenir BlueKeep pénétration bien que l’utilisation de la passerelle VPN. |
| m1050 | protection contre les exploits | empêchez L’entrée BlueKeep grâce à l’utilisation de la protection contre les exploits dans endpoint security. | |
| M1032 | authentification multifacteur | utilisez MFA pour toutes les connexions effectuées via RDP. | |
| M1031 | Réseau de Prévention des Intrusions | Prévenir BlueKeep la pénétration grâce à l’utilisation du réseau de protection en sécurité des points de terminaison., | |
| m1051 | mise à jour du logiciel | empêcher L’exploitation BlueKeep via l’installation du correctif CVE-2019-0708 ou la mise à niveau vers la version du système d’exploitation non vulnérable. | |
| M1049 | Antivirus/Antimalware | empêcher le code D’attaque BlueKeep de s’exécuter via l’utilisation de endpoint security. |
Êtes-vous toujours à l’aide d’ordinateurs vulnérables à BlueKeep? Le vérificateur de vulnérabilité BlueKeep (CVE-2019-0708) D’ESET a-t-il aidé? Si oui, quelles mesures avez-vous prises pour atténuer l’exploitation? Assurez-vous de nous le faire savoir, ci-dessous!,