Brute-force attack e BlueKeep exploit di usurpare la convenienza di direct connessioni RDP; ESET rilascia un tool per testare le macchine Windows per versioni vulnerabili
Mentre la vulnerabilità BlueKeep (CVE-2019-0708) non ha, fino ad oggi, causato un caos diffuso, e vedremo le ragioni per cui in questo post, è ancora molto presto nel suo ciclo di vita di sfruttamento. Resta il fatto che molti sistemi non sono ancora patchati e una versione completamente wormable dell’exploit potrebbe ancora essere trovata. A causa di questi fattori, ESET ha creato un’utilità gratuita per verificare se un sistema è vulnerabile.,
A volte, devi dire qualcosa su cose che “vanno da sé” e sembra che il modo migliore per iniziare questo post sia menzionando solo questo, perché questo non è un argomento che mi aspettavo di dover scrivere in questo giorno ed età. Prima di tuffarci, iniziamo guardando una vecchia massima.
C’è un vecchio detto nel campo della sicurezza delle informazioni che se un avversario ha accesso fisico al tuo computer, allora non è più il tuo computer. La ragione di questo è abbastanza semplice: una volta che gli aggressori hanno le mani su un computer, possono cambiare tutto ciò che vogliono., L’installazione di dispositivi come i keylogger hardware, la rimozione di unità disco e la loro copia, e in caso contrario l’eliminazione, la modifica o l’aggiunta di tutto ciò che vogliono sul sistema diventano esponenzialmente più facile quando si può camminare fino al computer. Questa non è una svolta particolarmente sorprendente, né particolarmente intelligente. Piuttosto, è una verità inevitabile. Per gli avversari, è solo una parte della loro descrizione del lavoro.
Le imprese e le scuole e tutti i tipi di organizzazioni non sono ciechi a questo, però., Questi tipi di luoghi non mettono i loro server alla reception nella hall, nella reception, nel centro visitatori, nella sala d’attesa o in altri luoghi in cui il pubblico o, in teoria, qualsiasi dipendente, facoltà, studente o personale possono entrare e ottenere l’accesso fisico a loro. O, almeno, nessun business che vuole rimanere nel mondo degli affari permette questo. Di solito, c’è una certa separazione dei server, sia che si trovino nella loro stanza dedicata, o addirittura nascosti in un angolo posteriore che è off-limits per la maggior parte del personale.,
Tuttavia, per tutta questa conoscenza comune, le lezioni apprese sulla sicurezza nel mondo fisico non sempre si trasferiscono bene (o correttamente) nel mondo di Internet. Ci sono molti server che eseguono varie versioni dei sistemi operativi Microsoft Windows Server che sono direttamente collegati a Internet con ciò che equivale a poca o nessuna sicurezza pratica intorno a chi può accedervi. E questo ci porta alla discussione del PSR.
Che cos’è RDP?
RDP, abbreviazione di Remote Desktop Protocol, consente a un computer di connettersi a un altro computer su una rete per utilizzarlo in remoto., In un dominio, i computer che eseguono un sistema operativo client Windows, come Windows XP o Windows 10, sono dotati di software client RDP preinstallato come parte del sistema operativo, che consente loro di connettersi ad altri computer sulla rete, inclusi i server dell’organizzazione. Una connessione a un server in questo caso significa che potrebbe essere direttamente al sistema operativo del server, o potrebbe essere a un sistema operativo in esecuzione all’interno di una macchina virtuale su quel server., Da quella connessione, una persona può aprire directory, scaricare e caricare file ed eseguire programmi, proprio come se si utilizzasse la tastiera e il monitor collegati a quel server.
RDP è stato inventato da Citrix nel 1995 e venduto come parte di una versione migliorata di Windows NT 3.51 chiamato WinFrame. Nel 1998, Microsoft ha aggiunto RDP a Windows NT 4.0 Terminal Server Edition., Da allora, il protocollo è stato una parte di tutte le versioni della linea di Microsoft di sistemi operativi Windows Server, oltre ad essere incluso con tutte le edizioni utente non-home dei sistemi operativi client Windows dal momento che Windows XP è stato rilasciato nel 2001. Oggi, gli utenti comuni di RDP includono gli amministratori di sistema che fanno l’amministrazione remota dei server dai loro cubicoli senza dover andare nella sala server, così come i lavoratori remoti che possono connettersi a macchine desktop virtualizzate all’interno del dominio della loro organizzazione.
Cosa fanno gli aggressori con RDP?,
Negli ultimi due anni, ESET ha visto un numero crescente di incidenti in cui gli aggressori si sono connessi in remoto a un server Windows da Internet utilizzando RDP e hanno effettuato l’accesso come amministratore del computer. Una volta che gli aggressori sono registrati nel server come amministratore, in genere eseguiranno alcune ricognizioni per determinare a cosa serve il server, da chi e quando viene utilizzato.
Una volta che gli aggressori conoscono il tipo di server di cui hanno il controllo, possono iniziare a eseguire azioni dannose.,s abbiamo visto sono:
- eliminare i file di log contenente la prova della loro presenza sul sistema
- disabilitare i backup pianificati e copie shadow
- disabilitare il software di protezione o l’impostazione di esclusione (che è consentito per gli amministratori)
- il download e l’installazione di vari programmi sul server
- la cancellazione o la sovrascrittura dei vecchi backup, se sono accessibili
- esfiltrare i dati dal server
Questo non è un elenco completo di tutte le cose che un utente malintenzionato può fare, né è un attaccante necessariamente andare a svolgere tutte queste attività., Gli aggressori possono connettersi più volte nel corso di giorni o solo una volta, se hanno un ordine del giorno predeterminato., Mentre l’esatta natura di ciò che gli aggressori farà varia notevolmente, due dei più comuni sono:
- installazione di moneta-programmi di estrazione, al fine di generare cryptocurrency, come Monero
- installazione di ransomware per estorcere denaro da parte dell’organizzazione, spesso per essere pagati tramite cryptocurrency, come bitcoin
In alcuni casi, gli aggressori potrebbero installare ulteriori software di controllo remoto per mantenere l’accesso (persistenza) alla compromissione dei server in caso di RDP attività sono scoperto e risolto.,
Non abbiamo visto alcun server che sono stati compromessi sia per estorcere tramite ransomware e per il mio criptovaluta, ma abbiamo visto casi in cui un server è stato compromesso da un utente malintenzionato per il mio criptovaluta, poi compromessa da altri aggressori che hanno cambiato il minatore moneta in modo che il ricavato è andato a loro, invece. Sembra che ci sia poco onore tra i ladri.
La conoscenza degli attacchi RDP ha raggiunto un punto che persino i truffatori di sextortion ne incorporano la menzione nelle loro note di riscatto nel tentativo di rendere le loro truffe più legittime.,
Figura 1. Immagine da sextortion e-mail truffa ricordare RDP
Per ulteriori informazioni su questi tipi di truffe via email, vi consiglio questa serie di articoli dal mio collega Bruce P. Burrell: Parte I, Parte II e Parte III.
di Massa RDP attacchi
Attacchi eseguiti con RDP sono stati lentamente, ma costantemente, aumentando, e soggetto a una serie di organizzazioni governative avvisi dal FBI, il regno UNITO NCSC, Canada, CCCS, e Australia ACSC, solo per citarne alcuni.,
Tuttavia, nel maggio 2019 le porte si sono aperte con l’arrivo di CVE-2019-0708, alias “BlueKeep”, una vulnerabilità di sicurezza in RDP che colpisce Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2. Sul desktop, Windows 8 e versioni successive e sui server, Windows Server 2012 e versioni successive, non sono interessati.
La vulnerabilità BlueKeep consente agli aggressori di eseguire codice di programma arbitrario sui computer delle loro vittime., Mentre anche i singoli aggressori possono essere una minaccia diffusa perché possono utilizzare strumenti automatici per gli attacchi, questa vulnerabilità è “wormable”, il che significa che un attacco potrebbe diffondersi automaticamente attraverso le reti senza alcun intervento da parte degli utenti, proprio come Win32/Diskcoder.C (aka NotPetya) e worm Conficker hanno in passato.
Lo sfruttamento delle vulnerabilità wormable è generalmente considerato un problema grave., Microsoft ha assegnato alla vulnerabilità il suo più alto livello di gravità, Critico, nella sua guida pubblicata per i clienti, e nel database nazionale delle vulnerabilità del governo degli Stati Uniti, la voce per CVE-2019-0708 è valutata come 9.8 su 10. Microsoft ha pubblicato un post sul blog raccomandando vivamente agli utenti di installare le sue patch, comprese quelle per i sistemi operativi non supportati come Windows XP e Windows Server 2003., Le preoccupazioni per un exploit wormable erano così alti che, all’inizio di giugno, la National Security Agency degli Stati Uniti ha emesso una rara consulenza raccomandando l’installazione di patch di Microsoft per la falla.
All’inizio di settembre, Rapid7, lo sviluppatore dello strumento Metasploit pentesting, ha annunciato il rilascio di un exploit BlueKeep. Mentre nessuna escalation importante nell’attività di BlueKeep è stata segnalata per i prossimi due mesi, questo è recentemente cambiato. All’inizio di novembre, i rapporti di massa di sfruttamento BlueKeep è diventato pubblico, come notato da ZDNet e WIRED, tra le altre agenzie di stampa., Secondo quanto riferito, gli attacchi hanno avuto meno successo, con circa il 91% dei computer vulnerabili che si schiantano con un errore di stop (aka bug check o Blue Screen of Death) quando l’attaccante tenta di sfruttare la vulnerabilità BlueKeep. Tuttavia, sul restante 9% dei computer vulnerabili, questi aggressori hanno installato con successo il software Monero cryptomining. Così, anche se non l’attacco wormable temuto, sembra un gruppo criminale ha automatizzato lo sfruttamento, anche se senza un alto tasso di successo.,
Quando ho iniziato a scrivere questo post sul blog, non era mia intenzione entrare in una descrizione dettagliata della vulnerabilità, né era di fornire una cronologia del suo sfruttamento: il mio obiettivo era quello di fornire ai lettori una comprensione di ciò che deve essere fatto per proteggersi da questa minaccia. Quindi, diamo un’occhiata a ciò che deve essere fatto.
Difendere contro gli aggressori RDP-borne
Quindi, con tutto questo in mente, cosa si può fare? Bene, la prima cosa, ovviamente, è smettere di connettersi direttamente ai tuoi server su Internet usando RDP., Questo può essere problematico per alcune aziende, perché ci possono essere alcuni motivi apparentemente legittimi per questo. Tuttavia, con il supporto per Windows Server 2008 e Windows 7 che termina a gennaio 2020, avere computer che li eseguono ed essere direttamente accessibili tramite RDP via Internet rappresenta un rischio per la tua azienda che dovresti già pianificare di mitigare.
Questo non significa che devi immediatamente smettere di usare RDP, ma che devi prendere ulteriori misure per proteggerlo il prima e il più rapidamente possibile., A tal fine, abbiamo creato una tabella con i primi dieci passi che si possono adottare per iniziare a proteggere i computer da attacchi basati su RDP.
| Raccomandazione per la protezione RDP | Ragione |
|---|---|
| 1. Disabilita le connessioni esterne alle macchine locali sulla porta 3389 (TCP/UDP) del firewall perimetrale.* | Blocca l’accesso RDP da Internet. |
| 2., Testare e distribuire le patch per la vulnerabilità CVE-2019-0708 (BlueKeep) e abilitare l’autenticazione a livello di rete il più rapidamente possibile. | Installare la patch di Microsoft e seguire le loro linee guida prescrittive aiuta a garantire che i dispositivi siano protetti dalla vulnerabilità BlueKeep. |
| 3. Per tutti gli account che possono essere registrati in via RDP richiedono password complesse (una passphrase lunga contenente 15 + caratteri senza frasi relative al business, nomi di prodotti, o gli utenti è obbligatorio). | Protegge contro gli attacchi password-guessing e credential-stuffing., È incredibilmente facile automatizzarli e aumentare la lunghezza di una password li rende esponenzialmente più resistenti a tali attacchi. |
| 4. Installare l’autenticazione a due fattori (2FA) e come minimo richiederlo su tutti gli account che possono essere registrati tramite RDP. | Richiede un secondo livello di autenticazione disponibile solo per i dipendenti tramite telefono cellulare, token o altro meccanismo per l’accesso ai computer. |
| 5. Installa un gateway VPN (Virtual Private Network) per gestire tutte le connessioni RDP dall’esterno della rete locale., | Impedisce le connessioni RDP tra Internet e la rete locale. Consente di applicare requisiti di identificazione e autenticazione più rigorosi per l’accesso remoto ai computer. |
| 6. Proteggere con password il software di sicurezza degli endpoint utilizzando una password complessa non correlata agli account amministrativi e di servizio. | Fornisce un ulteriore livello di protezione nel caso in cui un utente malintenzionato ottenga l’accesso da amministratore alla rete. |
| 7. Abilitare il blocco dello sfruttamento nel software di sicurezza degli endpoint., | Molti programmi di sicurezza degli endpoint possono anche bloccare le tecniche di sfruttamento. Verificare che questa funzionalità sia abilitata. |
| 8. Isolare qualsiasi computer non sicuro a cui è necessario accedere da Internet utilizzando RDP. | Implementa l’isolamento della rete per bloccare i computer vulnerabili dal resto della rete. |
| 9. Sostituire i computer non sicuri. | Se un computer non può essere patchato contro la vulnerabilità BlueKeep, pianificare per la sua sostituzione tempestiva. |
| 10. Prendere in considerazione l’istituzione di blocco GeoIP al gateway VPN., | Se il personale e i fornitori si trovano nello stesso paese, o in un breve elenco di paesi, prendere in considerazione il blocco dell’accesso da altri paesi al fine di impedire le connessioni da attaccanti stranieri. |
*Per impostazione predefinita, RDP opera sulla porta 3389. Se hai cambiato questa porta con un valore diverso, allora quella è la porta che dovrebbe essere bloccata.
Questa tabella è vagamente basata sull’ordine di importanza e facilità di implementazione, ma può variare a seconda dell’organizzazione., Alcuni di questi potrebbero non essere applicabili alla tua organizzazione, o potrebbe essere più pratico eseguirli in un ordine diverso, o potrebbero esserci ulteriori passaggi che la tua organizzazione deve intraprendere.
È necessario verificare che il software di sicurezza degli endpoint rilevi la vulnerabilità BlueKeep. BlueKeep viene rilevato come RDP / Exploit.CVE-2019-0708 di ESET Network Attack Protection module, che è un’estensione della tecnologia firewall di ESET presente in ESET Internet Security e ESET Smart Security Premium per i consumatori, e i programmi di protezione degli endpoint di ESET per le aziende.,
Figura 2. ESET Antimalware technology explained: Network Attack Protection
Va notato, tuttavia, che ci sono scenari in cui il rilevamento potrebbe non verificarsi, come l’exploit che prima blocca il sistema perché è inaffidabile. Al fine di essere più efficace, avrebbe bisogno di essere accoppiato con un altro exploit, come ad esempio una vulnerabilità di divulgazione delle informazioni che rivela indirizzi di memoria del kernel in modo che non hanno più bisogno di essere indovinato., Ciò potrebbe ridurre la quantità di arresti anomali, poiché l’exploit corrente esegue uno spray heap così grande.
Se si utilizza un software di sicurezza di un altro fornitore, verificare con loro se BlueKeep viene rilevato e come.
Tieni presente che questi passaggi rappresentano solo l’inizio di ciò che puoi fare per proteggerti dagli attacchi RDP. Pur avendo rilevamento per gli attacchi è un buon inizio, non è un sostituto per l’applicazione di patch o la sostituzione di computer vulnerabili. Il personale addetto alla sicurezza delle informazioni e i partner di sicurezza di fiducia possono fornirti ulteriori indicazioni specifiche per il tuo ambiente.,
Utilizzando BlueKeep di ESET (CVE-2019-0708) vulnerability checker
ESET ha rilasciato uno strumento gratuito BlueKeep (CVE-2019-0708) per verificare se un computer con Windows è vulnerabile allo sfruttamento. Al momento della pubblicazione, il tool può essere scaricato da:
(Essere sicuri di controllare ESET Strumenti e Utilità pagina per le versioni più recenti)
Questo programma è stato testato contro 32-bit e 64-bit di Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2, prima e dopo l’applicazione di Microsoft gli aggiornamenti per BlueKeep., Per utilizzare il programma, eseguire l’eseguibile. Non ci sono argomenti della riga di comando da utilizzare con la versione iniziale.
Quando viene eseguito, il programma segnalerà se il sistema è vulnerabile allo sfruttamento, se il sistema è patchato contro lo sfruttamento o se il sistema non è vulnerabile allo sfruttamento di BlueKeep. Nel caso in cui il sistema sia vulnerabile, lo strumento porterà l’utente alla pagina Web per scaricare la patch appropriata sul sito Web di Microsoft.,
Mentre questo è uno strumento monouso destinato ad uso personale e non è destinato ad essere distribuito per l’uso di massa in un ambiente automatizzato, ha una segnalazione di errori limitata. Per lo scripting, lo strumento restituisce un ERRORLEVEL pari a zero se il sistema è protetto e uno se è vulnerabile o si è verificato un errore.
Figura 3. Esempio di strumento in esecuzione sul sistema Windows 7 senza patch
Figura 4., Esempio di strumento in esecuzione sul sistema Windows 7 patchato
Figura 5. Esempio di strumento in esecuzione sul sistema Windows 10 non vulnerabile
Considerazioni finali e letture aggiuntive
Mentre lo sfruttamento di BlueKeep potrebbe non essere mai diffuso, la sua inclusione negli strumenti di pentesting significa che diventerà una parte permanente dei test di sicurezza interni. Quindi, la vera soluzione per prevenire lo sfruttamento di BlueKeep è rimuovere i dispositivi vulnerabili dalla rete della tua azienda.,
Tuttavia, potrebbe non essere sempre possibile farlo perché un dispositivo vulnerabile occupa un ruolo critico nel business, a causa dei costi o per altri motivi. Abbiamo a lungo sostenuto l’adozione di un approccio stratificato alla sicurezza e la protezione contro BlueKeep non fa eccezione. In effetti, alcuni dei passaggi descritti sopra, ad esempio l’installazione di un’applicazione 2FA come ESET Secure Authentication, possono aiutare a proteggere le reti da intrusi e altre minacce.
Ulteriori informazioni su RDP e BlueKeep sono disponibili all’indirizzo:
- CSO Online., Microsoft sollecita i clienti Windows a patch wormable RDP difetto. (15 Maggio 2019)
- Descrizione dell’aggiornamento di sicurezza per la vulnerabilità di esecuzione del codice remoto in Windows XP SP3, Windows Server 2003 SP2, Windows Server 2003 SP2 R2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 e Windows Embedded Standard 2009. (17 Giugno 2019)
- Guida al cliente per CVE-2019-0708 | Servizi desktop remoto Vulnerabilità nell’esecuzione di codice remoto: 14 maggio 2019., (14 Maggio 2019)
- CVE-2019-0708 | Servizi desktop remoto Vulnerabilità esecuzione di codice remoto. (14 Maggio 2019)
- Configurare l’autenticazione a livello di rete per le connessioni dei servizi desktop remoto. (13 Giugno 2013)
- CVE-2019-0708. (non datato)
- NSA Cybersecurity Advisory: Patch Remote Desktop Services sulle versioni legacy di Windows. (4 Giugno 2019)
- Un aggiornamento sulla vulnerabilità Microsoft Windows RDP “BlueKeep” (CVE-2019-0708) . (22 Maggio 2019)
- US-CERT, Avviso tecnico AA19-168A: vulnerabilità BlueKeep dei sistemi operativi Microsoft., (17 Giugno 2019)
- I primi attacchi BlueKeep richiedono nuovi avvisi. (11 Novembre 2019)
- Microsoft avverte di nuovi difetti BlueKeep-like. (15 Agosto 2019)
- La patch di BlueKeep non procede abbastanza velocemente. (17 Luglio 2019)
- NSA si unisce coro sollecitando gli utenti di Windows per patch ‘BlueKeep’. (6 Giugno 2019)
- Patch ora! Perché la vulnerabilità BlueKeep è un grosso problema. (22 Maggio 2019)
- Intensa attività di scansione rilevata per BlueKeep RDP difetto. (26 Maggio 2019)
Un ringraziamento speciale ai miei colleghi Alexis Dorais-Joncas, Bruce P. Burrell, Michal F.,, Nick FitzGerald, Branislav O., Matúš P., Peter R., Peter Stančík, Štefan S., e altri colleghi di ESET per la loro assistenza con questo articolo.
MITRE ATT&CK tecniche
| Tattica | ID | Nome | Descrizione |
|---|---|---|---|
| l’Accesso Iniziale | T1076 | Remote Desktop Protocol | BlueKeep sfrutta una vulnerabilità nel Protocollo Desktop Remoto., |
| T1133 | External Remote Services | BlueKeep exploits public-facing RDP servers on the Internet. | |
| Command and Control | T1071 | Standard Application Layer Protocol | BlueKeep uses port 3389 by default for command and control. |
| T1043 | Commonly Used Port | BlueKeep uses port 3389 by default for attack targeting. | |
| Lateral Movement | T1210 | Exploitation of Remote Services | BlueKeep exploits public-facing RDP servers on the Internet., |
| Mitigazione | M1035 | Limitare l’accesso alle risorse sulla rete | Prevenire l’ingresso BlueKeep attraverso l’uso del gateway VPN. |
| M1050 | Protezione Exploit | Prevenire l’ingresso BlueKeep attraverso l’uso di protezione exploit in endpoint security. | |
| M1032 | Autenticazione a più fattori | Utilizzare MFA per tutti gli accessi eseguiti tramite RDP. | |
| M1031 | Prevenzione delle intrusioni di rete | Prevenire l’ingresso di BlueKeep attraverso l’uso della protezione di rete nella sicurezza degli endpoint., | |
| M1051 | Aggiorna il software | Impedisce lo sfruttamento di BlueKeep tramite l’installazione della patch CVE-2019-0708 o l’aggiornamento alla versione del sistema operativo non vulnerabile. | |
| M1049 | Antivirus/Antimalware | Impedisce l’esecuzione del codice di attacco BlueKeep attraverso l’uso della sicurezza degli endpoint. |
Stai ancora utilizzando computer vulnerabili a BlueKeep? Il controllo delle vulnerabilità di ESET BlueKeep (CVE-2019-0708) ha aiutato? In tal caso, quali misure hai preso per mitigare lo sfruttamento? Assicurati di farcelo sapere, qui sotto!,