a Brute-force támadások, valamint BlueKeep hasznosítja bitorolják kényelem közvetlen RDP kapcsolat; az ESET kiad egy eszköz, hogy tesztelje a Windows gépek sebezhető verziók
míg a BlueKeep (CVE-2019-0708) sebezhetőség eddig nem okozott széles körű pusztítást, és meg fogjuk vizsgálni az okokat, amelyek miatt ebben a bejegyzésben még mindig nagyon korai a hasznosítási életciklusa. A tény az, hogy sok rendszer még mindig nem foltos, és a exploit alaposan féregezhető változata még mindig megtalálható. Ezen tényezők miatt az ESET létrehozott egy ingyenes segédprogramot annak ellenőrzésére, hogy a rendszer sebezhető-e.,
néha, meg kell mondani valamit a dolgokat, hogy “megy, anélkül, hogy”, és úgy tűnik, a legjobb módja annak, hogy indítsa el ezt a bejegyzést, megemlítve csak, hogy, mert ez nem egy téma azt vártam, hogy írjon ebben a korban. Mielőtt belemerülnénk, kezdjük egy régi maximmal.
van egy régi mondás az információbiztonsági mezőben, hogy ha egy ellenfél fizikai hozzáféréssel rendelkezik a számítógéphez,akkor már nem a számítógép. Ennek oka meglehetősen egyszerű: miután a támadók kezükben vannak a számítógépen, bármit megváltoztathatnak, amit akarnak., Az olyan eszközök telepítése, mint a hardveres keyloggerek, a lemezmeghajtók eltávolítása és másolása, máskülönben törlése, módosítása vagy hozzáadása, amit a rendszeren akarnak, exponenciálisan könnyebbé válik, ha közvetlenül a számítógéphez tud járni. Ez nem egy különösen meglepő fordulat, sem egy különösen okos. Inkább elkerülhetetlen igazság. Az ellenfelek számára ez csak a munkaköri leírás része.
a vállalkozások, iskolák és mindenféle szervezet azonban nem vak ettől., Az ilyen típusú helyek nem teszik a szerverek a recepción a hallban, recepció, Látogatóközpont, váróterem vagy más helyeken, ahol a nyilvános vagy, elképzelhető, bármely alkalmazott, kar, diák, vagy a személyzet beléphet, és fizikai hozzáférést kapnak hozzájuk. Vagy legalábbis az üzleti életben maradni akaró vállalkozás ezt nem teszi lehetővé. Általában, van némi szétválasztása a szerverek, függetlenül attól, hogy a saját dedikált szoba, vagy akár élj néhány hátsó sarokban, hogy a legtöbb személyzet számára tiltott.,
ennek a közös tudásnak a tanulságai a fizikai világ biztonságáról nem mindig (vagy helyesen) kerülnek át az internetes világba. Sok szerver fut a Microsoft Windows server operációs rendszerek különböző verzióiban, amelyek közvetlenül kapcsolódnak az internethez, ami kevés vagy semmilyen gyakorlati biztonságot jelent, akik hozzáférhetnek hozzájuk. És ez elvezet minket az RDP vitájához.
mi az az RDP?
RDP, a Távoli asztali protokoll rövidítése, lehetővé teszi az egyik számítógép számára, hogy hálózaton keresztül csatlakozzon egy másik számítógéphez annak távoli használatához., A domain a számítógépek Windows Kliens operációs rendszer, mint a Windows XP vagy a Windows 10, gyere RDP kliens szoftver telepítve részeként az operációs rendszer, amely lehetővé teszi számukra, hogy csatlakozik a hálózat többi számítógépe, beleértve a szervezet szerver(ek). A kapcsolat a szerver ebben az esetben azt jelenti, hogy lehet közvetlenül a szerver operációs rendszer, vagy lehet, hogy egy operációs rendszer fut belsejében egy virtuális gép a szerveren., Ebből a kapcsolatból egy személy könyvtárakat nyithat meg, fájlokat tölthet le és tölthet fel, valamint programokat futtathat, mintha a kiszolgálóhoz csatlakoztatott billentyűzetet és monitort használná.
az RDP-t a Citrix találta ki 1995-ben, és a Windows NT 3.51 winframe nevű továbbfejlesztett verziójának részeként adták el. 1998-ban a Microsoft RDP-t adott a Windows NT 4.0 Terminal Server Edition-hez., Azóta a protokoll része a Microsoft Windows Server operációs rendszereinek összes verziójának, valamint a Windows kliens operációs rendszerek nem otthoni felhasználói kiadásainak, mivel a Windows XP 2001-ben jelent meg. Ma, közös felhasználók RDP tartalmazza rendszergazdák csinál távoli adminisztráció, a szerverek, a fülkék, anélkül, hogy menjen a szerver szoba, valamint a távoli munkavállalók, akik csatlakozni virtualizált asztali gépek belül a szervezet domain.
mit csinálnak a támadók az RDP-vel?,
az elmúlt néhány évben az ESET egyre több olyan incidenst látott, amikor a támadók távolról csatlakoztak egy Windows szerverhez az internetről az RDP segítségével, majd bejelentkeztek a számítógép adminisztrátoraként. Miután a támadók rendszergazdaként bejelentkeztek a szerverre, általában felderítést végeznek annak meghatározására, hogy mire használják a kiszolgálót, kinek, és mikor használják.
miután a támadók tudják, hogy milyen kiszolgálót irányítanak, elkezdhetik rosszindulatú műveletek végrehajtását.,s láttuk, a következők:
- elszámolási log fájlokat tartalmazó bizonyíték jelenlétüket a rendszeren
- letiltása ütemezett biztonsági mentést árnyékmásolatok
- letiltása biztonsági szoftver vagy beállítása kizárások (a, amely lehetővé tette a rendszergazdák)
- letöltés telepítése különböző programok rá a kiszolgáló
- törlés vagy átírás a régi mentést, ha vannak elérhető
- exfiltrating adatokat a szerver
Ez nem egy teljes listát azokról a dolgokról, a támadó képes, sem a támadó feltétlenül fog végrehajtani ezeket a tevékenységeket., A támadók napok alatt többször is csatlakozhatnak, vagy csak egyszer, ha előre meghatározott napirendjük van., Bár a pontos jellege, amit a támadók lesz változik jelentősen, két leggyakrabban a következők:
- telepítése érme-bányászati programokat annak érdekében, hogy létrehoz fizetőeszköz, például Monero
- telepítése ransomware annak érdekében, hogy pénzt csikarjon ki a szervezet, gyakran kell fizetni fizetőeszköz használata, mint például a bitcoin
néhány esetben A támadók lehet telepíteni további távirányító szoftver fenntartani hozzáférés (kitartás) hogy veszélybe szerverek esetén, a VIDÉKFEJLESZTÉSI tevékenységek fedezték fel, majd megszűnik.,
még nem láttam olyan szerverek, amelyek veszélybe mindkét kicsikarni keresztül, amely az enyém fizetőeszköz, de láttunk már olyan esetről, ahol egy kiszolgáló veszélybe került az egyik támadót, hogy az enyém fizetőeszköz, majd később veszélyezteti más támadók, aki megváltoztatta az érme bányász, így a bevétel ment velük, helyette. Úgy tűnik, kevés becsület van a tolvajok között.
Az RDP-támadások körüli tudás elérte azt a pontot, hogy még a sextortion csalók is megemlítik a váltságdíjjegyeikben, hogy megpróbálják csalásaikat legitimebbé tenni.,
1.ábra. Kép a sextortion e-mail átverés megemlíteni, RDP
további információ arról, hogy az ilyen típusú e-mail csalások, ajánlom ezt a cikksorozatot kollégám Bruce P. Burrell: i. Rész, Part II., valamint III. Rész.
Tömege RDP támadások
Támadások végezni RDP lassan, de folyamatosan, egyre növekvő figyelemmel számos kormányzati figyelmeztetéseket az FBI-tól, az egyesült KIRÁLYSÁG NCSC, Kanada CCCS, valamint Ausztrália ACSC, hogy csak néhányat említsünk.,
Azonban Május 2019 a kaput nyitotta meg az érkezés CVE-2019-0708, más néven “BlueKeep,” a biztonsági rés az RDP érintő Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 vagy Windows Server 2008 R2. Az asztalon A Windows 8 vagy újabb, a szervereken pedig a Windows Server 2012 vagy újabb verzió nem érinti.
a BlueKeep biztonsági rés lehetővé teszi a támadók számára, hogy tetszőleges programkódot futtassanak az áldozatok számítógépén., Bár még az egyes támadók is széles körben fenyegethetnek, mert automatizált eszközöket használhatnak támadásokhoz, ez a sebezhetőség “féregelhető”, ami azt jelenti, hogy a támadás automatikusan elterjedhet a hálózatokon a felhasználók beavatkozása nélkül, csakúgy, mint a Win32/Diskcoder.C (más néven NotPetya)és Conficker férgek a múltban.
a féregelhető sebezhetőségek kihasználása általában súlyos problémának tekinthető., A Microsoft az ügyfelek számára közzétett útmutatásában a sebezhetőséget a legmagasabb súlyossági szintnek, kritikusnak minősítette, az Egyesült Államok kormányának Nemzeti sebezhetőségi adatbázisában pedig a CVE-2019-0708 bejegyzését 10-ből 9, 8-ra pontozták. A Microsoft egy blogbejegyzést adott ki, amelyben határozottan javasolta, hogy a felhasználók telepítsék a javításokat, beleértve azokat is, amelyek nem támogatják az olyan operációs rendszereket, mint a Windows XP és a Windows Server 2003., A féregképes kihasználással kapcsolatos aggodalmak olyan magasak voltak, hogy június elején az amerikai Nemzetbiztonsági Ügynökség ritka tanácsot adott ki, amely javasolta a Microsoft javításainak telepítését a hiba miatt.
szeptember elején a Rapid7, a Metasploit pentesting eszköz fejlesztője bejelentette a BlueKeep exploit kiadását. Bár a BlueKeep tevékenységében a következő néhány hónapban nem jelentettek jelentős mozgásokat, ez a közelmúltban megváltozott. November elején nyilvánosságra kerültek a BlueKeep kizsákmányolásáról szóló tömeges jelentések – közölte a ZDNet és a WIRED, többek között hírügynökségek., A támadások állítólag kevésbé voltak sikeresek, a sérülékeny számítógépek mintegy 91% – a ütközési hibával (más néven hibakeresés vagy a halál kék képernyője) összeomlik, amikor a támadó megpróbálja kihasználni a BlueKeep sebezhetőségét. A sérülékeny számítógépek fennmaradó 9% – án azonban ezek a támadók sikeresen telepítették a Monero cryptomining szoftvert. Tehát, bár nem a rettegett féregelhető támadás, úgy tűnik, hogy egy bűnözői csoport automatizált kizsákmányolással rendelkezik, bár magas sikerességi arány nélkül.,
amikor eredetileg elkezdtem írni ezt a blogbejegyzést, nem volt szándékom belemenni a sebezhetőség részletes leírásába, sem pedig a kizsákmányolás ütemtervének megadására: célom az volt, hogy az olvasók megértsék, mit kell tenni annak érdekében, hogy megvédjék magukat ezzel a fenyegetéssel szemben. Tehát nézzük meg, mit kell tenni.
védekezés az RDP által viselt támadók ellen
tehát, mindezt szem előtt tartva, mit tehetsz? Nos, az első dolog nyilvánvalóan az, hogy az RDP használatával ne csatlakozzon közvetlenül a szerverekhez az Interneten keresztül., Ez egyes vállalkozások számára problémás lehet, mert ennek látszólag legitim okai lehetnek. Azonban támogatja mind a Windows Server 2008 vagy Windows 7 végződő január 2020, hogy futtató számítógépek e, valamint, hogy közvetlenül elérhető segítségével RDP az interneten keresztül kockázatot jelent, hogy a cég már tervezi, hogy enyhítsék.
Ez nem azt jelenti, hogy azonnal abba kell hagynia az RDP használatát, hanem hogy további lépéseket kell tennie annak érdekében, hogy a lehető leghamarabb biztosítsa., E cél felé, hoztunk létre egy táblázatot az első tíz lépést lehet tenni, hogy kezdődik biztosítva a számítógépek RDP – alapú támadások.
| ajánlás az RDP | |
|---|---|
| 1. Tiltsa le a külső kapcsolatokat a helyi gépekkel a 3389-es porton (TCP/UDP) a perimeter tűzfalon.* | blokkolja az RDP hozzáférést az internetről. |
| 2., Tesztelje és telepítse a javításokat a CVE-2019-0708 (BlueKeep) sebezhetőséghez, és a lehető leggyorsabban engedélyezze a hálózati szintű hitelesítést. | a Microsoft javítócsomagjának telepítése és az előíró irányelvek betartása segít biztosítani, hogy az eszközök védve legyenek a BlueKeep sebezhetőségével szemben. |
| 3. Az RDP-n keresztül bejelentkezhető összes fiókhoz összetett jelszavak szükségesek (egy hosszú jelszó, amely 15+ karaktert tartalmaz, az üzlethez, a terméknevekhez vagy a felhasználókhoz kapcsolódó kifejezések nélkül). | véd a jelszó-találgatás és a hitelesítő-töltelék támadások ellen., Hihetetlenül könnyű ezeket automatizálni, a jelszó hosszának növelése pedig exponenciálisan ellenállóbbá teszi őket az ilyen támadásokkal szemben. |
| 4. Telepítse a kéttényezős hitelesítést (2FA), de legalább minden olyan fiókra, amelybe RDP-n keresztül lehet bejelentkezni.a | egy második hitelesítési réteget igényel, amely csak az alkalmazottak számára elérhető mobiltelefonon, tokenenen vagy más mechanizmuson keresztül a számítógépekbe való bejelentkezéshez. |
| 5. Telepítsen egy virtuális magánhálózati (VPN) átjárót az összes RDP-kapcsolat közvetítéséhez a helyi hálózaton kívülről., | megakadályozza az RDP-kapcsolatokat az internet és a helyi hálózat között. Lehetővé teszi a számítógépekhez való távoli hozzáférésre vonatkozó erősebb azonosítási és hitelesítési követelmények érvényesítését. |
| 6. Jelszóvédő végpont – biztonsági szoftver egy erős jelszó használatával, amely nem kapcsolódik az adminisztratív és szolgáltatási fiókokhoz.a | további védelmi réteget biztosít, ha a támadó rendszergazdai hozzáférést kap a hálózathoz. |
| 7. Engedélyezze a kizsákmányolás blokkolását a végpont biztonsági szoftverében., | számos végpont-biztonsági program blokkolhatja a kizsákmányolási technikákat is. Ellenőrizze, hogy ez a funkció engedélyezve van-e. |
| 8. Izoláljon minden olyan nem biztonságos számítógépet, amelyet RDP segítségével kell elérni az internetről. | hálózati elszigetelés végrehajtása a sebezhető számítógép(ek) blokkolásához a hálózat többi részétől. |
| 9. Cserélje ki a nem biztonságos számítógépeket. | ha egy számítógép nem javítható a BlueKeep sebezhetőségével szemben, tervezze meg annak időben történő cseréjét. |
| 10. Fontolja meg a geoIP blokkolását a VPN gateway-en., | ha a személyzet és a szállítók ugyanabban az országban vannak, vagy az országok rövid listája, fontolja meg a hozzáférés blokkolását más országokból a külföldi támadók kapcsolatainak megakadályozása érdekében. |
*alapértelmezés szerint az RDP a 3389-es porton működik. Ha ezt a portot más értékre változtatta, akkor azt a portot kell blokkolni.
Ez a táblázat lazán alapul fontossági sorrend és a könnyű végrehajtás, de ez változhat attól függően, hogy a szervezet., Előfordulhat, hogy ezek közül néhány nem vonatkozik a szervezetére, vagy praktikusabb lehet más sorrendben megtenni őket, vagy lehetnek további lépések, amelyeket a szervezetnek meg kell tennie.
ellenőriznie kell, hogy a végpont biztonsági szoftvere észleli-e a BlueKeep biztonsági rést. BlueKeep érzékeli RDP / Exploit.CVE-2019-0708 az ESET Network Attack Protection modulja, amely az ESET Internet Security és az ESET Smart Security Premium for consumers, valamint az ESET vállalkozások számára készült végpontvédelmi programjainak kiterjesztése az ESET tűzfaltechnológiájára.,
2.ábra. Az ESET Antimalware technológia magyarázata: hálózati Támadásvédelem
meg kell jegyezni azonban, hogy vannak olyan forgatókönyvek, ahol az észlelés nem fordulhat elő, például az exploit először összeomlik a rendszer, mert megbízhatatlan. Annak érdekében, hogy hatékonyabb legyen, párosítania kell egy másik exploittal, például egy olyan információs közzétételi sebezhetőséggel, amely feltárja a kernel memória címeit, hogy már ne kelljen kitalálni őket., Ez csökkentheti az összeomlások mennyiségét, mivel a jelenlegi exploit ilyen nagy kupac spray-t hajt végre.
ha más gyártótól származó biztonsági szoftvert használ, ellenőrizze velük, hogy észlelte-e a BlueKeep-et és hogyan.
ne feledje, hogy ezek a lépések csak a kezdetét jelentik annak, amit tehetünk az RDP támadások elleni védelem érdekében. Bár a támadások észlelése jó kezdet, ez nem helyettesíti a sebezhető számítógépek javítását vagy cseréjét. Az Ön információbiztonsági személyzete és megbízható biztonsági Partnerei további, a környezetére vonatkozó útmutatást nyújthatnak Önnek.,
az ESET BlueKeep (CVE-2019-0708) biztonsági rés-ellenőrző
ESET kiadott egy ingyenes BlueKeep (CVE-2019-0708) eszközt annak ellenőrzésére, hogy a Windows rendszert futtató számítógép ki van-e téve a kizsákmányolásnak. Mivel az idő kihirdetését követően, az eszköz letölthető:
(biztos, hogy ellenőrizze ESET Eszközök, Közmű oldal újabb verzió)
Ez a program tesztelték ellen 32-bites, mind a 64 bites Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 vagy Windows Server 2008 R2 előtt alkalmazása után a Microsoft frissítések BlueKeep., A program használatához futtassa a végrehajtható fájlt. Nincsenek parancssori argumentumok a kezdeti kiadáshoz.
futtatáskor a program jelentést tesz, ha a rendszer ki van téve a kizsákmányolásnak, ha a rendszer javításra kerül a kizsákmányolás ellen, vagy ha a rendszer nem sebezhető a BlueKeep kizsákmányolásával szemben. Abban az esetben, ha a rendszer sebezhető, az eszköz a felhasználót a weboldalra viszi, hogy letöltse a megfelelő javítást a Microsoft webhelyén.,
bár ez egy személyes használatra szánt egycélú eszköz, amelyet nem automatizált környezetben történő tömeges használatra szánnak, korlátozott hibajelentéssel rendelkezik. Szkriptek esetén az eszköz nulla hibaszintet ad vissza, ha a rendszer védett, és ha sérülékeny, vagy hiba történt.
3.ábra. Példa a futóeszközre a kicsomagolt Windows 7 rendszeren
4.ábra., Példa futó eszköz foltozott Windows 7 rendszer
5.ábra. Példa futó eszköz nem sérülékeny Windows 10 rendszer
végső gondolatok és további olvasás
míg BlueKeep kizsákmányolás soha nem lesz széles körben elterjedt, a felvétel pentesting eszközök azt jelenti, hogy ez lesz állandó része a házon belüli biztonsági tesztek. Tehát a BlueKeep kizsákmányolásának megakadályozásának valódi megoldása a sebezhető eszközök eltávolítása a vállalat hálózatából.,
előfordulhat azonban, hogy ez nem mindig lehetséges, mert a sebezhető eszköz kritikus szerepet játszik az üzletben, költség vagy más okok miatt. Régóta szorgalmazzuk, hogy rétegesen közelítsünk a biztonsághoz, és a BlueKeep elleni védelem sem kivétel. Valójában a fent vázolt lépések némelyike, például egy 2FA alkalmazás telepítése, például az ESET Secure Authentication, segíthet megvédeni a hálózatokat a betolakodóktól és más fenyegetésektől is.
további információk az RDP-ről és a BlueKeep-ről a következő címen találhatók:
- CSO Online., A Microsoft sürgeti a Windows ügyfeleit, hogy javítsák meg a féregelhető RDP hibát. (2019. május 15.)
- A Windows XP SP3, A Windows Server 2003 SP2, a Windows Server 2003 SP2 R2, A Windows XP Professional x64 Edition SP2, a Windows XP Embedded SP3, A Windows Embedded POSReady 2009 és a Windows Embedded Standard 2009 biztonsági frissítésének leírása. (2019. június 17.)
- CVE vevői útmutató-2019-0708 | Távoli asztali szolgáltatások Távoli Kód végrehajtási sebezhetőség: 2019. május 14., (2019. május 14.)
- CVE-2019-0708 | Távoli asztali szolgáltatások Távoli Kód végrehajtási biztonsági rés. (2019.május 14.)
- hálózati szintű hitelesítés konfigurálása Távoli asztali szolgáltatási kapcsolatokhoz. (2013. június 13.)
- CVE-2019-0708. (undated)
- NSA Cybersecurity Advisory: Patch Remote Desktop Services on Legacy Versions of Windows. (2019. június 4.)
- frissítés a Microsoft Windows RDP “BlueKeep” sebezhetőségéről (CVE-2019-0708) . (2019. május 22.)
- US-CERT, MŰSZAKI figyelmeztetés Aa19-168a: Microsoft operációs rendszerek BlueKeep biztonsági rés., (2019. június 17.)
- az első BlueKeep támadások friss figyelmeztetéseket váltanak ki. (2019. November 11.)
- a Microsoft figyelmeztet az új BlueKeep-szerű hibákra. (15 augusztus 2019)
- BlueKeep folt nem halad elég gyorsan. (17 július 2019)
- NSA csatlakozik chorus sürgette a Windows felhasználók patch “BlueKeep”. (6 június 2019)
- Patch most! Miért a BlueKeep biztonsági rés egy nagy dolog. (22 május 2019)
- intenzív szkennelési tevékenység észlelt BlueKeep RDP hiba. (2019. május 26.)
külön köszönet kollégáimnak Alexis Dorais-Joncas, Bruce P. Burrell, Michal F.,, Nick FitzGerald, Branislav O., Matúš P., Peter R., Peter Stančík, Štefan S., és az ESET más munkatársai a cikkhez nyújtott segítségükért.
MITRE ATT&CK techniques
| D | ||||
|---|---|---|---|---|
| kezdeti hozzáférés | t1076 | Távoli asztali protokoll | bluekeep kihasználja a biztonsági rést a Távoli asztali protokollban., | |
| T1133 | External Remote Services | BlueKeep exploits public-facing RDP servers on the Internet. | ||
| Command and Control | T1071 | Standard Application Layer Protocol | BlueKeep uses port 3389 by default for command and control. | |
| T1043 | Commonly Used Port | BlueKeep uses port 3389 by default for attack targeting. | ||
| Lateral Movement | T1210 | Exploitation of Remote Services | BlueKeep exploits public-facing RDP servers on the Internet., | |
| M1035 | korlátozza az erőforráshoz való hozzáférést a hálózaton keresztül | megakadályozza a BlueKeep behatolását a VPN gateway használata ellenére. | ||
| M1050 | Exploit Protection | megakadályozza a BlueKeep behatolását az exploit protection használatával a végpontbiztonságban. | ||
| M1032 | többtényezős hitelesítés | használja az MFA-t az RDP-n keresztül végrehajtott összes bejelentkezéshez. | ||
| M1031 | hálózati Behatolásmegelőzés | megakadályozza a BlueKeep behatolását a hálózati védelem használatával a végpontbiztonságban., | ||
| M1051 | szoftver frissítése | megakadályozza a BlueKeep kizsákmányolását a CVE-2019-0708 javítás telepítésével vagy a nem sérülékeny operációs rendszer verziójára történő frissítéssel. | ||
| M1049 | Antivirus/Antimalware | megakadályozza a BlueKeep támadási kód futtatását a végpontbiztonság használatával. |
még mindig használja a bluekeep-re érzékeny számítógépeket? Segített az ESET BlueKeep (CVE-2019-0708) sebezhetőség-ellenőrzője? Ha igen, milyen lépéseket tett a kizsákmányolás csökkentése érdekében? Ügyeljen arra, hogy tudassa velünk, alább!,