É hora de desligar RDP da internet

ataques de força Bruta e BlueKeep explorações de usurpar a conveniência de direcionar ligações RDP; ESET lança uma ferramenta para testar as suas máquinas Windows para versões vulneráveis

ATUALIZAÇÃO (29 de junho, 2020): Meu colega Ondrej Kubovič tem escrito uma atualização no RDP ataques identificados através da ESET telemetria através da última metade do ano, bem como fornecer orientação adicional sobre como proteger sua voltado para a Internet de sistemas., Para mais informações, veja seu artigo Acesso Remoto em risco: pandemia puxa mais bandidos cibernéticos para o jogo de Força bruta aqui na WeLiveSecurity. A. G.

embora a vulnerabilidade BlueKeep (CVE-2019-0708) não tenha, até à data, causado estragos generalizados, e nós estaremos olhando para as razões pelas quais neste post, ele ainda é muito cedo em seu ciclo de vida de exploração. O fato é que muitos sistemas ainda não estão remendados, e uma versão completamente irresistível da façanha ainda pode ser encontrada. Devido a esses fatores, a ESET criou um utilitário livre para verificar se um sistema é vulnerável.,

às vezes, você tem que dizer algo sobre coisas que “vão sem dizer” e parece que a melhor maneira de começar este post é mencionando apenas isso, porque este não é um assunto que eu esperava ter que escrever sobre neste dia e idade. Antes de entrarmos, vamos começar por olhar para uma velha máxima.

Há um velho ditado no campo de segurança da informação que se um adversário tem acesso físico ao seu computador então não é mais o seu computador. A razão para isso é bastante simples: uma vez que os atacantes têm suas mãos em um computador, eles podem mudar o que quiserem., Instalar dispositivos como keyloggers de hardware, remover unidades de disco e copiá-los, e de outra forma excluir, alterar ou adicionar qualquer coisa que eles querem no sistema tudo se torna exponencialmente mais fácil quando você pode andar até o computador. Esta não é uma reviravolta particularmente surpreendente, nem particularmente inteligente. Pelo contrário, é uma verdade inevitável. Para os adversários, faz parte do trabalho deles.

As empresas e escolas e todos os tipos de organizações não são cegos para isso, no entanto., Estes tipos de lugares não colocam seus servidores na recepção no lobby, na área de recepção, no centro de visitantes, na sala de espera ou em outros locais onde o público ou, possivelmente, qualquer funcionário, faculdade, estudante ou equipe pode entrar e obter acesso físico a eles. Ou, pelo menos, nenhum negócio que queira permanecer no negócio permite isso. Normalmente, há alguma separação dos servidores, quer estejam na sua própria sala dedicada, ou mesmo guardados num canto traseiro que está fora dos limites para a maioria do pessoal.,no entanto, para todo esse conhecimento comum, as lições aprendidas sobre segurança no mundo físico nem sempre se transferem bem (ou corretamente) para o mundo da internet. Há muitos servidores rodando várias versões de sistemas operacionais Microsoft Windows server que estão diretamente conectados à internet com o que equivale a pouca ou nenhuma segurança prática em torno de quem pode acessá-los. E isso leva-nos à discussão do RDP.o que é o RDP?

RDP, abreviatura de Remote Desktop Protocol, permite que um computador se conecte a outro computador através de uma rede, a fim de usá-lo remotamente., Em um domínio, computadores executando um sistema operacional cliente Windows, como Windows XP ou Windows 10, vêm com software cliente RDP pré-instalado como parte do sistema operacional, o que lhes permite se conectar a outros computadores na rede, incluindo o(s) servidor (s) da organização. Uma conexão com um servidor neste caso significa que ele pode ser diretamente para o sistema operacional do servidor, ou pode ser para um sistema operacional rodando dentro de uma máquina virtual nesse servidor., A partir dessa conexão, uma pessoa pode abrir diretórios, baixar e carregar arquivos, e executar programas, como se usando o teclado e monitor conectado a esse servidor.

RDP foi inventado pelo Citrix em 1995 e vendido como parte de uma versão melhorada do Windows NT 3.51 chamado WinFrame. Em 1998, a Microsoft adicionou RDP ao Windows NT 4.0 Terminal Server Edition., Desde então, o protocolo tem sido uma parte de todas as versões da linha de sistemas operacionais Windows Server da Microsoft, bem como ser incluído com todas as edições não-home de Usuários de sistemas operacionais Windows cliente desde que o Windows XP foi lançado em 2001. Hoje, usuários comuns do RDP incluem administradores de sistema fazendo a administração remota de servidores de seus cubículos sem ter que ir para a sala do servidor, bem como trabalhadores remotos que podem se conectar a máquinas de desktop virtualizadas dentro do domínio de sua organização.

o que os atacantes fazem com o RDP?,

nos últimos anos, a ESET tem visto um número crescente de incidentes em que os atacantes se conectaram remotamente a um servidor do Windows a partir da internet usando RDP e logado como administrador do computador. Uma vez que os atacantes são conectados no servidor como administrador, eles tipicamente realizam algum reconhecimento para determinar para que o servidor é usado, por quem, e quando ele está sendo usado.

Uma vez que os atacantes sabem o tipo de servidor que eles têm controle, eles podem começar a executar ações maliciosas.,s vimos incluem:

  • limpeza de arquivos de log que contêm evidências de sua presença no sistema
  • desactivação agendada cópias de segurança e cópias de sombra
  • desabilitar o software de segurança ou configurar exclusões (o que é permitido para os administradores)
  • baixar e instalar vários programas no servidor
  • apagar ou substituir os backups antigos, se eles são acessíveis
  • exfiltrating de dados do servidor

Esta não é uma lista completa de todas as coisas que um invasor pode fazer, nem é um intruso, necessariamente, vai realizar todas essas atividades., Os atacantes podem ligar-se várias vezes ao longo dos dias ou apenas uma vez, se tiverem uma agenda pré-determinada., Embora a natureza exata do que os invasores não varia muito, duas das mais comuns são:

  • instalar moeda de mineração de programas, a fim de gerar cryptocurrency, tais como Monero
  • a instalação de ransomware, a fim de extorquir dinheiro de organização, muitas vezes, para ser pago usando cryptocurrency, tais como a bitcoin

Em alguns casos, os atacantes podem instalação adicional de software de controle remoto para manter o acesso (persistência) para servidores comprometidos no caso do RDP atividades são descobertos e finalizado.,

Nós não vimos nenhum servidor que foi comprometido tanto para extorquir via ransomware e para minerar cryptocurrency, mas nós vimos casos em que um servidor foi comprometido por um atacante para minar cryptocurrency, então mais tarde comprometido por outros atacantes que mudaram o mineiro de moedas de modo que os lucros foram para eles, em vez disso. Parece que há pouca honra entre ladrões.

conhecimento em torno de ataques RDP chegou a um ponto em que até mesmo os scammers sextortion estão incorporando menção dele em suas notas de resgate, em uma tentativa de fazer seus esquemas soarem mais legítimos.,

Figura 1. Imagem de sextortion e-mail golpe mencionar RDP

Para mais informações sobre estes tipos de golpes por e-mail, eu recomendo esta série de artigos da minha colega Bruce P. Burrell: Parte I, Parte II e Parte III.

Massa RDP ataques

os Ataques realizados com o RDP têm sido lentamente, mas de forma constante, crescente, e sujeito a um número de organizações governamentais avisos do FBI, o reino UNIDO NCSC, Canadá CCCS, e da Austrália ACSC, para citar alguns.,

no Entanto, em Maio de 2019 as comportas aberto com a chegada do CVE-2019-0708, aka “BlueKeep,” uma vulnerabilidade de segurança no RDP que afetam o Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2. No desktop, Windows 8 e mais tarde, e em servidores, Windows Server 2012 e mais tarde, não são afetados.

a vulnerabilidade Blueep permite que os atacantes executem código de programa arbitrário nos computadores das suas vítimas., Enquanto individuais, mesmo os atacantes podem ser uma ameaça generalizada, porque eles podem usar ferramentas automatizadas para ataques, esta vulnerabilidade é “wormable,” o que significa que um ataque poderia se propagar automaticamente através de redes, sem qualquer intervenção pelos usuários, assim como o Win32/Diskcoder.C (também conhecido como NotPetya) e worms do Conficker têm no passado.a exploração de vulnerabilidades sem fim é geralmente considerada uma questão grave., A Microsoft atribuiu à vulnerabilidade o seu nível de severidade mais elevado, crítico, em sua orientação publicada para os clientes, e na Base de Dados Nacional de vulnerabilidades do governo dos EUA, a entrada para CVE-2019-0708 é pontuada como 9,8 de 10. A Microsoft emitiu um post no blog recomendando fortemente que os usuários instalem seus patches, incluindo aqueles para sistemas operacionais fora de suporte, como Windows XP e Windows Server 2003., As preocupações sobre uma exploração irrecuperável eram tão elevadas que, no início de junho, a Agência de Segurança Nacional dos EUA emitiu um raro aviso recomendando a instalação dos patches da Microsoft para a falha.

no início de setembro, o Rapid7, o desenvolvedor da ferramenta Metasploit pentesting, anunciou o lançamento de uma façanha BlueKeep. Enquanto nenhuma escalada na atividade BlueKeep foi relatada para os próximos dois meses, isso mudou recentemente. No início de novembro, relatos em massa da exploração BlueKeep tornaram-se públicos, como observado pela ZDNet e WIRED, entre outros canais de notícias., Os ataques teriam sido menos bem sucedidos, com cerca de 91% dos computadores vulneráveis caindo com um erro de parada (também conhecido como bug check ou Blue Screen of Death) quando o atacante tenta explorar a vulnerabilidade Blueekeep. No entanto, nos restantes 9% dos computadores vulneráveis, estes atacantes instalaram com sucesso o software de criptominação Monero. Assim, embora não seja o temido ataque sem fim, parece que um grupo criminoso tem uma exploração automatizada, embora sem uma alta taxa de sucesso.,

Quando eu originalmente comecei a escrever este blog, não foi minha intenção ir para uma descrição detalhada da vulnerabilidade, nem era para fornecer uma linha do tempo da sua exploração: o meu objetivo era dar aos leitores uma compreensão do que deve ser feito para proteger-se contra esta ameaça. Então, vamos dar uma olhada no que precisa ser feito.

defender – se contra os atacantes suportados pelo RDP

assim, com tudo isso em mente, o que você pode fazer? Bem, a primeira coisa, obviamente, é parar de se conectar diretamente aos seus servidores através da internet usando RDP., Isto pode ser problemático para algumas empresas, porque pode haver algumas razões aparentemente legítimas para isso. No entanto, com suporte tanto para Windows Server 2008 e Windows 7 terminando em janeiro de 2020, ter computadores executando estes e ser diretamente acessível usando RDP através da internet representa um risco para o seu negócio que você já deve estar planejando mitigar.

isto não significa que você precisa imediatamente parar de usar RDP, mas que você precisa tomar medidas adicionais para protegê-lo o mais rápido e rápido possível., Para este fim, criamos uma tabela com os dez primeiros passos que você pode tomar para começar a proteger seus computadores de ataques baseados no RDP.

Recomendação para a proteção de RDP a Razão
1. Desactiva as ligações externas às máquinas locais na porta 3389 (TCP/UDP) na firewall do perímetro.* bloqueia o acesso ao RDP a partir da internet.
2., Testar e implantar patches para a vulnerabilidade CVE-2019-0708 (Bluseep) e permitir a autenticação de Nível de rede o mais rápido possível. instalar o patch da Microsoft e seguir as suas orientações prescritivas ajuda a garantir que os dispositivos são protegidos contra a vulnerabilidade Blueep.
3. Para todas as contas que podem ser conectadas via RDP requerem senhas complexas (uma frase-senha longa contendo 15 caracteres+ sem frases relacionadas com o negócio, nomes de produtos ou usuários é obrigatório). protege contra ataques de adivinhação de senha e de enchimento de credenciais., É incrivelmente fácil automatizá-los, e aumentar o comprimento de uma senha torna-os exponencialmente mais resistentes a tais ataques.
4. Instalar autenticação de dois fatores (2FA) e, no mínimo, requerê-lo em todas as contas que podem ser conectadas via RDP. requer uma segunda camada de autenticação disponível apenas para os funcionários via telefone celular, token ou outro mecanismo para entrar em computadores.
5. Instale uma ‘gateway’ de rede privada virtual (VPN) para mediar todas as ligações RDP fora da sua rede local., impede as ligações RDP entre a internet e a sua rede local. Permite-lhe impor requisitos mais fortes de identificação e autenticação para o acesso remoto a computadores.
6. Password-protect endpoint software de segurança usando uma senha forte não relacionada com contas administrativas e de serviços. fornece uma camada adicional de proteção caso um atacante ganhe acesso de administrador à sua rede.
7. Activar o bloqueio de exploração no software de segurança do endpoint., muitos programas de segurança endpoint também podem bloquear técnicas de exploração. Verifique se esta funcionalidade está activa.
8. Isolar qualquer computador inseguro que precise ser acessado a partir da internet usando RDP.implementar isolamento de rede para bloquear computadores vulneráveis do resto da rede.
9. Substituir computadores inseguros. If a computer cannot be patched against the BlueKeep vulnerability, plan for its timely replacement.
10. Considere instituir o bloqueio geoIP no portal VPN., se o pessoal e os vendedores estão no mesmo país, ou uma pequena lista de Países, considere bloquear o acesso de outros países, a fim de evitar conexões de atacantes estrangeiros.

*Por defeito, o RDP opera no Porto 3389. Se você mudou este porto para um valor diferente, então esse é o porto que deve ser bloqueado.esta tabela é vagamente baseada na ordem de importância e facilidade de implementação, mas que pode variar dependendo de sua organização., Alguns deles podem não ser aplicáveis à sua organização, ou pode ser mais prático fazê-los em uma ordem diferente, ou pode haver passos adicionais que sua organização precisa tomar.

deve verificar se o seu programa de segurança endpoint detecta a vulnerabilidade Blueep. A BlueKeep é detectada como RDP/Exploit.CVE-2019-0708 pelo Módulo de proteção contra ataques de rede da ESET, que é uma extensão da tecnologia de firewall da ESET presente na segurança da Internet da ESET e no Prémio de Segurança Inteligente da ESET para os consumidores, e os programas de proteção de endpoint da ESET para as empresas.,

Figura 2. ESET tecnologia Antimalware explicou: Rede de Proteção de Ataque

deve ser notado, porém, que há situações onde a detecção pode não ocorrer, tais como a exploração de primeiro falhas no sistema porque ele não é confiável. A fim de ser mais eficaz, ele precisaria ser emparelhado com outra façanha, como uma vulnerabilidade de divulgação de informações que revela endereços de memória do kernel para que eles não precisem mais ser adivinhados., Isto poderia reduzir a quantidade de acidentes, como o exploit atual executa um spray de heap tão grande.

Se você está usando software de segurança de outro fornecedor, verifique com eles para ver se Blueep é detectado e como.

tenha em mente, estes passos representam apenas o início do que você pode fazer para proteger contra ataques RDP. Embora ter detecção de ataques é um bom começo, não é um substituto para patching ou substituir computadores vulneráveis. Sua equipe de segurança de informações e parceiros de segurança confiáveis podem fornecer-lhe orientações adicionais específicas para o seu ambiente.,

usando o BlueKeep (CVE-2019-0708) verificador de vulnerabilidade

ESET lançou uma ferramenta Bluseep livre (CVE-2019-0708) para verificar se um computador em execução de janelas é vulnerável à exploração. Como o momento da publicação, a ferramenta pode ser baixada de:

(certifique-se de verificar o ESET Ferramentas e Utilitários de página para as versões mais recentes)

Este programa foi testado contra 32-bit e 64-bit versões do Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2 antes e depois de aplicar o Microsoft atualizações para BlueKeep., Para usar o programa, execute o executável. Não existem argumentos de linha de comando para usar com a versão inicial.

Quando executado, o programa irá relatar se o sistema é vulnerável à exploração, se o sistema é remendado contra a exploração, ou se o sistema não é vulnerável à exploração Blusepe. No caso de o sistema ser vulnerável, a ferramenta levará o Usuário para a página web para baixar o patch apropriado no site da Microsoft.,embora esta seja uma ferramenta de uso único destinada a uso pessoal e não se destine a ser utilizada para uso em massa num ambiente automatizado, ela tem uma comunicação limitada de erros. Para scripting, a ferramenta retorna um ERRORLEVEL de zero se o sistema está protegido, e um se ele é vulnerável ou um erro ocorreu.

Figura 3. Exemplo de ferramenta em execução no sistema do Windows 7 não compatível

Figura 4., Exemplo de ferramenta em execução no sistema patched Windows 7

Figura 5. Exemplo de executar a ferramenta no sistema Windows 10 não-vulnerável

Pensamentos finais e leitura adicional

enquanto a exploração BlueKeep nunca pode se tornar generalizada, sua inclusão em ferramentas de penteação significa que ela se tornará uma parte permanente dos testes de segurança internos. Então, a verdadeira solução para prevenir a exploração BlueKeep é remover dispositivos vulneráveis da rede de sua empresa.,

no entanto, pode nem sempre ser possível fazê-lo porque um dispositivo vulnerável ocupa um papel crítico no negócio, por causa do custo, ou por outras razões. Há muito que defendemos uma abordagem em camadas da segurança, e proteger contra a Blueekeep não é excepção. Na verdade, alguns dos passos descritos acima, por exemplo, a instalação de uma aplicação 2FA, como a autenticação Secure ESET, pode ajudar a proteger suas redes de intrusos e outras ameaças também.

Mais informações sobre o RDP e Blueep podem ser encontradas em:

  • CSO Online., A Microsoft incita os clientes do Windows a corrigir falhas do RDP. (15 de Maio de 2019)
  • Description of the security update for the remote code execution vulnerability in Windows XP SP3, Windows Server 2003 SP2, Windows Server 2003 SP2 R2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 e Windows Embedded Standard 2009. (17 de junho de 2019)-2019-0708 | vulnerabilidade de execução de código remoto dos Serviços de Desktop remotos: 14 de Maio de 2019., (14 de Maio de 2019)-2019-0708 | vulnerabilidade de execução de código remoto dos Serviços de Desktop remotos. (14 de Maio de 2019)
  • configurar a autenticação ao nível da rede para Ligações de serviços remotos. (13 de junho de 2013)
  • CVE-2019-0708. (undated)
  • NSA Cybersegurança Advisory: Patch Remote Desktop Services on Legacy Versions of Windows. (4 de junho de 2019)
  • uma atualização sobre a vulnerabilidade “BlueKeep” do Microsoft Windows RDP (CVE-2019-0708) . (22 May 2019)
  • US-CERT, Technical Alert AA19-168A: Microsoft Operating Systems BlueKeep Vulnerability., (17 de junho de 2019)
  • o primeiro ataque Blueekeep lança novos avisos. (11 November 2019)
  • Microsoft warns of new BlueKeep-like flaws. (15 de agosto de 2019)
  • bluekeep patching não está progredindo rápido o suficiente. (17 de julho de 2019)
  • NSA junta coro instando os usuários do Windows a remendar ‘Blueep’. (6 de junho de 2019)
  • Patch now! Porque é que a vulnerabilidade dos Blueekeep é importante. (22 de Maio de 2019)
  • actividade de digitalização intensa detectada por falha da Blueep RDP. (26 de Maio de 2019) agradecimentos especiais aos meus colegas Alexis Dorais-Joncas, Bruce P. Burrell, Michal F.,, Nick FitzGerald, Branislav O., Matúš P., Peter R., Peter Stančík, Štefan S., e outros colegas da ESET pela sua assistência neste artigo.

    MITRE ATT&CK técnicas

    Tática ID Nome Descrição
    o Acesso Inicial T1076 Remote Desktop Protocol BlueKeep aproveita de uma vulnerabilidade no Protocolo de Desktop Remoto.,
    T1133 External Remote Services BlueKeep exploits public-facing RDP servers on the Internet.
    Command and Control T1071 Standard Application Layer Protocol BlueKeep uses port 3389 by default for command and control.
    T1043 Commonly Used Port BlueKeep uses port 3389 by default for attack targeting.
    Lateral Movement T1210 Exploitation of Remote Services BlueKeep exploits public-facing RDP servers on the Internet.,
    mitigação M1035 limitar o acesso aos recursos através da rede impedir a entrada em Blusekeep através do uso de gateway VPN.
    M1050 explore Protection Previn Blueepress through use of exploit protection in endpoint security.
    M1032 autenticação multi-factor utilizar MFA para todas as loginas realizadas através da RDP.
    M1031 prevenção de intrusões na rede prevenir a entrada dos Blusekeep através da utilização da protecção da rede na segurança dos endpoints.,
    M1051 Update Software prevenir a exploração BlueKeep através da instalação de CVE-2019-0708 patch ou atualização para a versão do sistema operacional não vulnerável.
    M1049 antivírus/Antimalware previnem o código de ataque dos Bluepe a correr através do uso da segurança endpoint.

    ainda está a usar computadores vulneráveis à Blueep? O verificador de vulnerabilidade da ESET (CVE-2019-0708) ajudou? Em caso afirmativo, que medidas tomou para mitigar a exploração? Certifique-se de nos avisar, abaixo!,

Share

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *