Brute-force-aanvallen en BlueKeep maakt gebruik van usurp-gemak van directe RDP-verbindingen; ESET brengt een tool uit om uw Windows-machines te testen op kwetsbare versies
hoewel de bluekeep (CVE-2019-0708) kwetsbaarheid tot op heden geen wijdverbreide ravage heeft veroorzaakt, en we zullen kijken naar de redenen waarom in deze post, het is nog zeer vroeg in de exploitatie levenscyclus. Het feit blijft dat veel systemen zijn nog steeds niet gepatcht, en een grondig wormbare versie van de exploit kan nog steeds worden gevonden. Vanwege deze factoren heeft ESET een gratis hulpprogramma gemaakt om te controleren of een systeem kwetsbaar is.,
soms moet je iets zeggen over dingen die “vanzelfsprekend” zijn en het lijkt de beste manier om dit bericht te starten is door dat te vermelden, omdat dit niet een onderwerp is waarover ik verwacht had te moeten schrijven in deze tijd. Voordat we erin duiken, laten we beginnen met het kijken naar een oude stelregel.
Er is een oud gezegde in het veld informatiebeveiliging dat als een tegenstander fysieke toegang tot uw computer heeft, het niet meer uw computer is. De reden hiervoor is heel eenvoudig: zodra de aanvallers hun handen op een computer hebben, kunnen ze alles veranderen wat ze willen., Het installeren van apparaten zoals hardware keyloggers, het verwijderen van disk drives en ze te kopiëren, en anders verwijderen, wijzigen of toevoegen van alles wat ze willen op het systeem worden allemaal exponentieel gemakkelijker wanneer u kunt lopen recht op de computer. Dit is geen bijzonder verrassende wending, noch een bijzonder slimme wending. Integendeel, het is een onvermijdelijke waarheid. Voor de tegenstanders is het slechts een deel van hun taakomschrijving.
bedrijven en scholen en allerlei organisaties zijn hier echter niet blind voor., Dit soort plaatsen niet hun servers bij de receptie in de lobby, receptie, bezoekerscentrum, wachtkamer of andere locaties waar het publiek of, denkbaar, een werknemer, faculteit, student, of personeel kan betreden en fysieke toegang tot hen te krijgen. Of, in ieder geval, geen bedrijf dat wil blijven in het bedrijfsleven staat dit toe. Meestal is er enige scheiding van de servers, of ze nu in hun eigen speciale kamer zijn, of zelfs weggestopt in een Achterhoek die verboden is voor het meeste personeel.,
maar voor al deze algemene kennis, de geleerde lessen over veiligheid in de fysieke wereld niet altijd goed (of correct) overbrengen naar de internetwereld. Er zijn veel servers met verschillende versies van Microsoft Windows server-besturingssystemen die direct zijn aangesloten op het internet met wat neerkomt op weinig of geen praktische beveiliging rond wie toegang tot hen. En dat brengt ons bij de discussie over RDP.
Wat is RDP?
RDP, kort voor Remote Desktop Protocol, staat een computer toe om verbinding te maken met een andere computer via een netwerk om het op afstand te gebruiken., In een domein worden computers met een Windows-clientbesturingssysteem, zoals Windows XP of Windows 10, geleverd met vooraf geïnstalleerde RDP-clientsoftware als onderdeel van het besturingssysteem, waarmee ze verbinding kunnen maken met andere computers in het netwerk, waaronder de server(s) van de organisatie. Een verbinding met een server betekent in dit geval dat het direct naar het besturingssysteem van de server kan gaan, of naar een besturingssysteem dat in een virtuele machine op die server draait., Vanuit die verbinding kan een persoon mappen openen, bestanden downloaden en uploaden, en programma ‘ s uitvoeren, net als met het toetsenbord en de monitor die met die server is verbonden.
RDP werd uitgevonden door Citrix in 1995 en verkocht als onderdeel van een verbeterde versie van Windows NT 3.51 genaamd WinFrame. In 1998 voegde Microsoft RDP toe aan Windows NT 4.0 Terminal Server Edition., Sindsdien is het protocol een deel van alle versies van Microsoft ‘ s lijn van Windows Server-besturingssystemen, evenals wordt opgenomen met alle niet-home-gebruiker edities van Windows Client-besturingssystemen sinds Windows XP werd uitgebracht in 2001. Veelgebruikte gebruikers van RDP zijn systeembeheerders die servers op afstand beheren vanuit hun hokjes zonder naar de serverruimte te hoeven gaan, evenals externe werknemers die verbinding kunnen maken met gevirtualiseerde desktopmachines binnen het domein van hun organisatie.
wat doen aanvallers met RDP?,
de afgelopen jaren heeft ESET een toenemend aantal incidenten gezien waarbij de aanvallers op afstand verbinding hebben gemaakt met een Windows Server vanaf het internet met behulp van RDP en zich hebben aangemeld als beheerder van de computer. Zodra de aanvallers zijn aangemeld bij de server als beheerder, zullen ze meestal een aantal verkenning uit te voeren om te bepalen waarvoor de server wordt gebruikt, door wie, en wanneer het wordt gebruikt.
zodra de aanvallers weten over welk soort server ze controle hebben, kunnen ze beginnen met het uitvoeren van kwaadaardige acties.,s we hebben onder andere gezien:
- het wissen van logbestanden met bewijs van hun aanwezigheid op het systeem
- geplande back-ups en schaduwkopieën uitschakelen
- beveiligingssoftware uitschakelen of uitsluitingen instellen (Wat is toegestaan voor beheerders)
- het downloaden en installeren van verschillende programma ‘ s op de server
- het wissen of overschrijven van oude back-ups, als ze toegankelijk zijn
- het exfiltreren van gegevens van de server
Dit is geen volledige lijst van alle dingen die een aanvaller kan doen, noch is een aanvaller noodzakelijk om al deze activiteiten uit te voeren., Aanvallers kunnen meerdere keren te verbinden over dagen of slechts een keer, als ze een vooraf bepaalde agenda., Hoewel de exacte aard van wat aanvallers zullen doen sterk varieert, zijn twee van de meest voorkomende:
- het installeren van coin-mining programma ‘ s om cryptogeld te genereren, zoals Monero
- het installeren van ransomware om geld af te persen van de organisatie, vaak te betalen met behulp van cryptogeld, zoals bitcoin
in sommige gevallen kunnen aanvallers aanvullende software op afstand installeren om toegang (persistentie) tot gecompromitteerde servers te behouden in het geval hun RDP activiteiten worden ontdekt en beëindigd.,
we hebben geen servers die werden gecompromitteerd zowel af te persen via ransomware en de mijne cryptogeld, maar we hebben gevallen waarin een server werd gecompromitteerd door een aanvaller om de mijne cryptogeld gezien, dan later gecompromitteerd door andere aanvallers die de munt mijnwerker veranderd, zodat de opbrengst ging naar hen, in plaats daarvan. Het lijkt erop dat er weinig eer is onder dieven.
kennis rond RDP-aanvallen heeft een punt bereikt dat zelfs sextortion oplichters er melding van maken in hun losgeldbriefjes in een poging om hun oplichting meer legitiem te laten klinken.,
figuur 1. Image from sextortion email scam stating RDP
voor meer informatie over dit soort e-mail oplichting, adviseer ik deze serie artikelen van mijn collega Bruce P. Burrell: Part I, Part II, and Part III.
massale RDP-aanvallen
aanvallen uitgevoerd met RDP zijn langzaam, maar gestaag toegenomen, en onderworpen aan een aantal regeringsadviezen van de FBI, de Britse NCSC, Canada ’s CCC’ s, en Australië ‘ s ACSC, om er een paar te noemen.,
echter, in Mei 2019 de sluizen geopend met de komst van CVE-2019-0708, aka “BlueKeep,” een beveiligingsprobleem in RDP die Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 en Windows Server 2008 R2. Op het bureaublad, Windows 8 en hoger, en op servers, Windows Server 2012 en later, zijn onaangetast.
De bluekeep kwetsbaarheid stelt aanvallers in staat om willekeurige programmacode uit te voeren op de computers van hun slachtoffers., Hoewel zelfs individuele aanvallers een wijdverspreide bedreiging kunnen zijn omdat ze geautomatiseerde tools voor aanvallen kunnen gebruiken, is deze kwetsbaarheid “wormbaar”, wat betekent dat een aanval zich automatisch over netwerken kan verspreiden zonder tussenkomst van gebruikers, net als de Win32/Diskcoder.C (aka NotPetya) en Conficker wormen hebben in het verleden.
exploitatie van wormbare kwetsbaarheden wordt over het algemeen als een ernstig probleem beschouwd., Microsoft heeft de kwetsbaarheid zijn hoogste ernst niveau toegewezen, kritisch, in de gepubliceerde richtlijnen voor klanten, en in de Amerikaanse regering Nationale kwetsbaarheid Database, de vermelding voor CVE-2019-0708 wordt gescoord als 9.8 van 10. Microsoft gaf een blog post sterk aanbevelen dat gebruikers installeren van de patches, met inbegrip van die voor out-of-support besturingssystemen zoals Windows XP en Windows Server 2003., Zorgen over een wormbare exploit waren zo hoog dat, aan het begin van juni, De Amerikaanse National Security Agency uitgegeven een zeldzame advies aan te bevelen installatie van Microsoft ‘ s patches voor de fout.begin September kondigde Rapid7, de ontwikkelaar van de Metasploit pentesting tool, de release aan van een bluekeep exploit. Hoewel er de komende maanden geen grote escalaties in de BlueKeep-activiteit werden gemeld, is dit onlangs veranderd. Aan het begin van November, massa rapporten van BlueKeep exploitatie werd openbaar, zoals opgemerkt door ZDNet en WIRED, onder andere nieuwsuitzendingen., De aanvallen zijn naar verluidt minder dan succesvol geweest, met ongeveer 91% van de kwetsbare computers crashen met een stop-fout (aka bug check of Blue Screen of Death) wanneer de aanvaller probeert om de bluekeep kwetsbaarheid te exploiteren. Echter, op de resterende 9% van de kwetsbare computers, deze aanvallers met succes geïnstalleerd Monero cryptomining software. Dus, hoewel niet de gevreesde wormbare aanval, het lijkt een criminele groep heeft geautomatiseerde exploitatie, zij het zonder een hoog slagingspercentage.,
toen ik oorspronkelijk begon met het schrijven van deze blogpost, was het niet mijn bedoeling om in te gaan op een gedetailleerde beschrijving van de kwetsbaarheid, noch was het om een tijdlijn van de exploitatie ervan te bieden: mijn doel was om lezers te voorzien van een begrip van wat er gedaan moet worden om zichzelf te beschermen tegen deze dreiging. Laten we eens kijken wat er gedaan moet worden.
verdedigen tegen RDP-borne aanvallers
dus, met dat alles in het achterhoofd, wat kunt u doen? Nou, het eerste ding, natuurlijk, is om te stoppen met het rechtstreeks verbinden met uw servers via het internet met behulp van RDP., Dit kan problematisch zijn voor sommige bedrijven, omdat er een aantal ogenschijnlijk legitieme redenen voor dit kunnen zijn. Echter, met ondersteuning voor zowel Windows Server 2008 en Windows 7 eindigend in januari 2020, met computers die deze draaien en direct toegankelijk zijn met behulp van RDP via het internet vormt een risico voor uw bedrijf dat u al van plan zou moeten zijn om te beperken.
Dit betekent niet dat u onmiddellijk moet stoppen met het gebruik van RDP, maar dat u extra stappen moet ondernemen om het zo snel en zo snel mogelijk te beveiligen., Tegen deze achtergrond hebben we een tabel gemaakt met de top tien stappen die u kunt nemen om te beginnen met het beveiligen van uw computers tegen RDP-gebaseerde aanvallen.
| aanbeveling voor het beveiligen van RDP | reden |
|---|---|
| 1. Verbied externe verbindingen met lokale machines op poort 3389 (TCP/UDP) aan de perimeter firewall.* | blokkeert RDP-toegang vanaf het internet. |
| 2., Test en implementeer patches voor de CVE-2019-0708 (BlueKeep) kwetsbaarheid en schakel verificatie op netwerkniveau zo snel mogelijk in. | het installeren van Microsoft ‘ s patch en het volgen van hun voorschrijvende richtlijnen helpt ervoor te zorgen apparaten worden beschermd tegen de bluekeep kwetsbaarheid. |
| 3. Voor alle accounts die via RDP kunnen worden aangemeld, zijn complexe wachtwoorden vereist (een lange wachtwoordzin met meer dan 15 tekens zonder zinnen met betrekking tot het bedrijf, productnamen of gebruikers is verplicht). | beschermt tegen het Raden van wachtwoorden en het opvullen van referenties., Het is ongelooflijk eenvoudig om deze te automatiseren, en het verhogen van de lengte van een wachtwoord maakt ze exponentieel beter bestand tegen dergelijke aanvallen. |
| 4. Installeer 2FA (two-factor authentication) en vereist deze minimaal op alle accounts die via RDP kunnen worden aangemeld. | vereist een tweede authenticatielaag die alleen beschikbaar is voor werknemers via mobiele telefoon, token of een ander mechanisme om in te loggen op computers. |
| 5. Installeer een VPN-gateway (virtual private network) om alle RDP-verbindingen van buiten uw lokale netwerk te beheren., | voorkomt RDP-verbindingen tussen het internet en uw lokale netwerk. Hiermee kunt u strengere identificatie-en verificatievereisten afdwingen voor externe toegang tot computers. |
| 6. Endpoint Beveiligingssoftware met wachtwoordbeveiliging met een sterk wachtwoord dat geen verband houdt met administratieve en serviceaccounts. | biedt een extra beveiligingslaag als een aanvaller beheerder toegang krijgt tot uw netwerk. |
| 7. Schakel exploitatieblokkering in in endpoint beveiligingssoftware., | veel endpoint beveiligingsprogramma ‘ s kunnen ook exploitatietechnieken blokkeren. Controleer of deze functionaliteit is ingeschakeld. |
| 8. Isoleer elke onveilige computer die moet worden benaderd vanaf het internet met behulp van RDP. | implementeer netwerkisolatie om kwetsbare computer(s) van de rest van het netwerk te blokkeren. |
| 9. Vervang onveilige computers. | als een computer niet kan worden gepatcht met de bluekeep-kwetsbaarheid, plan dan voor de tijdige vervanging ervan. |
| 10. Overweeg om geoIP te blokkeren bij VPN gateway., | indien medewerkers en verkopers zich in hetzelfde land bevinden, of in een korte lijst van landen, overweeg dan de toegang vanuit andere landen te blokkeren om verbindingen van buitenlandse aanvallers te voorkomen. |
*standaard werkt RDP op poort 3389. Als je deze poort hebt veranderd naar een andere waarde dan is dat de poort die moet worden geblokkeerd.
Deze tabel is losjes gebaseerd op volgorde van belang en gemak van implementatie, maar dat kan variëren afhankelijk van uw organisatie., Sommige van deze zijn mogelijk niet van toepassing op uw organisatie, of het kan praktischer zijn om ze in een andere volgorde te doen, of er kunnen extra stappen zijn die uw organisatie moet nemen.
controleer of uw endpoint beveiligingssoftware de kwetsbaarheid van BlueKeep detecteert. BlueKeep wordt gedetecteerd als RDP / Exploit.CVE-2019-0708 van ESET ’s Network Attack Protection module, een uitbreiding van ESET’ s firewalltechnologie die aanwezig is in ESET Internet Security en ESET Smart Security Premium voor consumenten, en ESET ’s endpoint protection Programma’ s voor bedrijven.,
Figuur 2. ESET Antimalware technology uitgelegd: Network Attack Protection
opgemerkt moet worden dat er scenario ‘ s zijn waar detectie mogelijk niet voorkomt, zoals de exploit die het systeem eerst crasht omdat het onbetrouwbaar is. Om effectiever te zijn, zou het moeten worden gekoppeld met een andere exploit, zoals een informatie Openbaarmaking kwetsbaarheid die kernel geheugen adressen onthult, zodat ze niet langer moeten worden geraden., Dit kan het aantal crashes te verminderen, als de huidige exploit voert zo ‘ n grote heap spray.
Als u beveiligingssoftware van een andere leverancier gebruikt, controleer dan bij hen of BlueKeep is gedetecteerd en hoe.
Houd er rekening mee dat deze stappen slechts het begin zijn van wat u kunt doen om te beschermen tegen RDP-aanvallen. Hoewel detectie van aanvallen een goed begin is, is het geen vervanging voor het patchen of vervangen van kwetsbare computers. Uw informatiebeveiliging personeel en vertrouwde beveiligingspartners kunnen u voorzien van extra begeleiding specifiek voor uw omgeving.,
met behulp van ESET ‘ s bluekeep (CVE-2019-0708) vulnerability checker
ESET heeft een gratis bluekeep (CVE-2019-0708) tool uitgebracht om te controleren of een computer met Windows kwetsbaar is voor exploitatie. Vanaf het moment van publicatie kan het programma worden gedownload van:
(controleer ESET ’s Tools en Utilities pagina voor nieuwere versies)
Dit programma is getest tegen 32-bits en 64-bits versies van Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 en Windows Server 2008 R2 voor en na het toepassen van Microsoft’ s updates voor BlueKeep., Om het programma te gebruiken, voert u het uitvoerbare bestand uit. Er zijn geen command-line argumenten voor gebruik met de eerste release.
wanneer het programma wordt uitgevoerd, zal het rapporteren of het systeem kwetsbaar is voor exploitatie, of het systeem is gepatcht tegen exploitatie, of als het systeem niet kwetsbaar is voor exploitatie van BlueKeep. In het geval dat het systeem is kwetsbaar, de tool zal de gebruiker naar de webpagina om de juiste patch te downloaden op de website van Microsoft.,
hoewel dit een single-purpose tool is bedoeld voor persoonlijk gebruik en niet bedoeld is om te worden ingezet voor massagebruik in een geautomatiseerde omgeving, heeft het wel beperkte Foutrapportage. Voor scripting geeft de tool een ERRORLEVEL van nul terug als het systeem beschermd is, en een als het kwetsbaar is of er een fout is opgetreden.
Figuur 3. Voorbeeld van het uitvoeren van hulpprogramma op ongepatchte Windows 7-systeem
Figuur 4., Voorbeeld van het uitvoeren van het hulpprogramma op het gepatchte Windows 7-systeem
Figuur 5. Voorbeeld van het uitvoeren van tool op niet-kwetsbare Windows 10 systeem
laatste gedachten en extra lezing
hoewel BlueKeep exploitatie nooit wijdverspreid kan worden, betekent de opname in pentesting tools dat het een permanent onderdeel zal worden van interne beveiligingstests. Zo, de echte oplossing voor het voorkomen van BlueKeep exploitatie is om kwetsbare apparaten uit het netwerk van uw bedrijf te verwijderen.,
het is echter niet altijd mogelijk om dit te doen omdat een kwetsbaar apparaat een cruciale rol speelt in het bedrijf, vanwege de kosten of om andere redenen. We hebben al lang gepleit voor een gelaagde benadering van veiligheid, en bescherming tegen BlueKeep is geen uitzondering. Sommige van de hierboven beschreven stappen, bijvoorbeeld het installeren van een 2FA-toepassing zoals ESET Secure Authentication, kunnen uw netwerken ook beveiligen tegen indringers en andere bedreigingen.
meer informatie over RDP en BlueKeep is te vinden op:
- CSO Online., Microsoft dringt er bij Windows-klanten patch wormable RDP fout. (15 Mei 2019)
- beschrijving van de beveiligingsupdate voor het uitvoeren van externe code kwetsbaarheid in Windows XP SP3, Windows Server 2003 SP2, Windows Server 2003 SP2 R2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009, en Windows Embedded Standard 2009. (17 juni 2019)
- Customer guidance for CVE-2019-0708 | Remote Desktop Services externe code uitvoering kwetsbaarheid: mei 14, 2019., (14 Mei 2019)
- CVE-2019-0708 | Extern bureaublad-Services kwetsbaarheid voor het uitvoeren van externe Code. (14 Mei 2019)
- verificatie op netwerkniveau configureren voor Extern bureaublad-Services-verbindingen. (13 juni 2013)
- CVE-2019-0708. (ongedateerd)
- NSA Cybersecurity Advisory: Remote Desktop Services patchen op oudere versies van Windows. (4 juni 2019)
- een update over de Microsoft Windows RDP “BlueKeep” kwetsbaarheid (CVE-2019-0708) . (22 Mei 2019)
- US-CERT, Technical Alert AA19-168A: Microsoft Operating Systems Bluekeep Vulnerability., (17 juni 2019)
- eerste BlueKeep-aanvallen geven nieuwe waarschuwingen. (11 November 2019)
- Microsoft waarschuwt voor nieuwe bluekeep-achtige fouten. (15 augustus 2019)
- BlueKeep patching vordert niet snel genoeg. (17 juli 2019)
- NSA voegt zich bij chorus en dringt er bij Windows-gebruikers op aan om ‘BlueKeep’te patchen. (6 juni 2019)
- Patch now! Waarom de bluekeep kwetsbaarheid is een big deal. (22 Mei 2019)
- Intense scanactiviteit gedetecteerd voor BlueKeep RDP-fout. (26 Mei 2019)
speciale dank aan mijn collega ‘ s Alexis Dorais-Joncas, Bruce P. Burrell, Michal F.,, Nick FitzGerald, Branislav O., Matúš P., Peter R., Peter Stančík, Štefan S., en andere collega ‘ s van ESET voor hun hulp bij dit artikel.
MITRE ATT&CK technieken
| Tactiek | ID | Naam | Beschrijving |
|---|---|---|---|
| Initiële Toegang | T1076 | Remote Desktop Protocol | BlueKeep maakt gebruik van een kwetsbaarheid in microsoft Remote Desktop Protocol., |
| T1133 | External Remote Services | BlueKeep exploits public-facing RDP servers on the Internet. | |
| Command and Control | T1071 | Standard Application Layer Protocol | BlueKeep uses port 3389 by default for command and control. |
| T1043 | Commonly Used Port | BlueKeep uses port 3389 by default for attack targeting. | |
| Lateral Movement | T1210 | Exploitation of Remote Services | BlueKeep exploits public-facing RDP servers on the Internet., |
| mitigatie | M1035 | toegang tot Resource via netwerk | voorkomen dat BlueKeep binnendringt door gebruik van VPN-gateway. |
| M1050 | Exploit Protection | Voorkom het binnendringen van BlueKeep door gebruik te maken van exploit protection in endpoint security. | |
| M1032 | Multi-factor authenticatie | gebruik MFA voor alle aanmeldingen die via RDP worden uitgevoerd. | |
| M1031 | Network Intrusion Prevention | Voorkom het binnendringen van BlueKeep door gebruik te maken van netwerkbeveiliging in endpoint security., | |
| M1051 | updatesoftware | voorkom exploitatie van BlueKeep via installatie van CVE-2019-0708-patch of upgrade naar niet-kwetsbare versie van het besturingssysteem. | |
| M1049 | Antivirus / Antimalware | voorkom dat BlueKeep-aanvalscode wordt uitgevoerd door middel van endpoint security. |
gebruikt u nog steeds computers die kwetsbaar zijn voor BlueKeep? Heeft ESET ‘ s BlueKeep (CVE-2019-0708) vulnerability checker geholpen? Zo ja, welke maatregelen hebt u genomen om de exploitatie te beperken? Laat het ons weten, hieronder!,