Brute-force atacuri și BlueKeep exploateaza uzurpa confort directe conexiuni RDP; ESET lanseaza un instrument pentru a testa mașini Windows vulnerabile versiuni
în Timp ce BlueKeep (CVE-2019-0708) vulnerabilitatea nu are, până în prezent, a provocat ravagii pe scară largă, și vom fi uitat la motivele pentru care, în acest post, este încă foarte devreme în procesul de exploatare a ciclului de viață. Faptul rămâne că multe sisteme nu sunt încă patch-uri și o versiune complet vierme a exploit-ului ar putea fi încă găsită. Din cauza acestor factori, ESET a creat un utilitar gratuit pentru a verifica dacă un sistem este vulnerabil.,uneori, trebuie sa spui ceva despre lucruri care „merg de la sine” si se pare ca cel mai bun mod de a incepe aceasta postare este sa mentionezi doar asta, pentru ca acesta nu este un subiect despre care ma asteptam sa trebuiasca sa scriu in zilele noastre. Înainte de a ne arunca cu capul în, Să începem prin uita la un maxim vechi.
există o veche zicală în domeniul securității informațiilor că, dacă un adversar are acces fizic la computer, atunci nu mai este computerul. Motivul pentru aceasta este destul de simplu: odată ce atacatorii au mâinile pe un computer, pot schimba orice Doresc., Instalarea de dispozitive, cum ar fi hardware-ul keyloggers, eliminarea unități de disc și copierea lor, și în caz contrar, ștergerea, modificarea sau adăugarea de orice doresc pe sistemul toți devin exponențial mai ușor atunci când puteți merge pe jos până la calculator. Aceasta nu este o întorsătură deosebit de surprinzătoare a evenimentelor, nici una deosebit de inteligentă. Mai degrabă, este un adevăr inevitabil. Pentru adversari, este doar o parte din fișa postului lor.întreprinderile și școlile și tot felul de organizații nu sunt orbi la acest lucru, deși., Aceste tipuri de locuri nu își pun serverele la recepție în hol, zona de recepție, Centrul de vizitatori, sala de așteptare sau alte locații în care publicul sau, probabil, orice angajat, facultate, student sau personal poate intra și obține acces fizic la ele. Sau, cel puțin, nicio afacere care dorește să rămână în afaceri nu permite acest lucru. De obicei, există o anumită separare a serverelor, indiferent dacă sunt în camera lor dedicată sau chiar ascunse într-un colț din spate, care este în afara limitelor pentru majoritatea personalului.,cu toate acestea, pentru toate aceste cunoștințe comune, lecțiile învățate despre securitatea în lumea fizică nu se transferă întotdeauna bine (sau corect) în lumea internetului. Există multe servere care rulează diferite versiuni ale sistemelor de operare Microsoft Windows server care sunt conectate direct la internet, ceea ce înseamnă o securitate practică mică sau deloc în jurul cine le poate accesa. Și asta ne aduce la discuția despre PDR.
ce este RDP?RDP, prescurtarea de la Remote Desktop Protocol, permite unui computer să se conecteze la un alt computer printr-o rețea pentru a-l utiliza de la distanță., Într-un domeniu, computerele care rulează un Client Windows sistem de operare, precum Windows XP sau Windows 10, vino cu RDP client software-ul preinstalat, ca parte a sistemului de operare, care le permite să se conecteze la alte computere din rețea, inclusiv organizarea de server(e). O conexiune la un server în acest caz înseamnă că ar putea fi direct la sistemul de operare al serverului sau ar putea fi la un sistem de operare care rulează în interiorul unei mașini virtuale de pe acel server., Din acea conexiune, o persoană poate deschide directoare, descărca și încărca fișiere și rula programe, la fel ca și cum ar folosi tastatura și monitorul conectat la acel server.RDP a fost inventat de Citrix în 1995 și vândut ca parte a unei versiuni îmbunătățite a Windows NT 3.51 numită WinFrame. În 1998, Microsoft a adăugat RDP la Windows NT 4.0 Terminal Server Edition., De atunci, protocolul a făcut parte din toate versiunile liniei Microsoft de sisteme de operare Windows Server, precum și a fost inclus cu toate edițiile non-home user ale sistemelor de operare Windows Client de când Windows XP a fost lansat în 2001. Astăzi, utilizatorii comune de RDP includ administratorii de sistem face administrarea de la distanță a serverelor din cabinele lor, fără a fi nevoie să meargă în camera de server, precum și lucrătorii la distanță care se poate conecta la desktop virtualizat mașini în interiorul organizației lor domeniu.
ce fac atacatorii cu RDP?,în ultimii ani, ESET a înregistrat un număr tot mai mare de incidente în care atacatorii s-au conectat de la distanță la un server Windows de pe internet folosind RDP și s-au conectat ca administrator al computerului. Odată ce atacatorii sunt conectați la server ca administrator, aceștia vor efectua de obicei o recunoaștere pentru a determina pentru ce este folosit serverul, de către cine și când este utilizat.odată ce atacatorii cunosc tipul de server pe care îl controlează, pot începe să efectueze acțiuni rău intenționate.,s am văzut include:
- de compensare fișiere jurnal care conține dovezi ale prezenței lor pe sistemul
- dezactivarea backup-uri programate și copii în umbră
- dezactivarea software-ul de securitate sau setarea excluderi în ea (care este permis pentru administratori)
- descărcarea și instalarea diferitelor programe pe server
- ștergerea sau suprascrierea backup vechi, dacă acestea sunt accesibile
- extrage date de pe server
- de compensare fișiere jurnal care conține dovezi ale prezenței lor pe sistemul
- dezactivarea backup-uri programate și copii în umbră
- dezactivarea software-ul de securitate sau setarea excluderi în ea (care este permis pentru administratori)
- descărcarea și instalarea diferitelor programe pe server
- ștergerea sau suprascrierea backup vechi, dacă acestea sunt accesibile
- extrage date de pe server
Aceasta nu este o listă completă de toate lucrurile pe care un atacator poate face, nici nu este un atacator neapărat de gând pentru a efectua toate aceste activități., Atacatorii se pot conecta de mai multe ori în zile sau doar o singură dată, dacă au o agendă predeterminată., În timp ce natura exactă a ceea ce atacatorii vor face variază foarte mult, două dintre cele mai comune sunt:
- instalarea monede miniere programe, în scopul de a genera cryptocurrency, cum ar fi Monero
- instalarea ransomware în scopul de a stoarce bani de la organizație, de multe ori să fie plătit cu cryptocurrency, cum ar fi bitcoin
În unele cazuri, atacatorii s-ar putea instala suplimentare de la distanță software-ul de control pentru a menține accesul (persistența) pentru a compromis servere în cazul lor RDP activități sunt descoperite și încheiată.,
nu Am văzut nici serverele care au fost compromise atât pentru a stoarce prin ransomware și a mea cryptocurrency, dar am văzut cazuri în care un server a fost compromisă de un atacator a mea cryptocurrency, apoi, mai târziu, compromise de alte atacatorii care s-a schimbat moneda miner, astfel încât veniturile dus la ei, în loc. Se pare că există puțină onoare printre hoți.
cunoștințele despre atacurile RDP au ajuns la un punct în care chiar și escrocii sextortion încorporează o mențiune despre aceasta în notele lor de răscumpărare, în încercarea de a face înșelătoriile lor să pară mai legitime.,
Figura 1. Imagine din sextortion înșelătorie e-mail de menționat RDP
Pentru mai multe informații despre aceste tipuri de escrocherii de e-mail, vă recomand această serie de articole de colegul meu, Bruce P. Burrell: Partea I, Partea a II-a și Partea a III-a.
Masa RDP atacurile
Atacuri efectuate cu RDP au fost încet, dar constant, în creștere, și supus la o serie de guvernamentale consultatie de la FBI, marea BRITANIE CNSC, Canada al ucdc, cât și Australia ACSC, pentru a numi doar câteva.,
cu toate Acestea, în Mai 2019 porțile deschise cu sosirea CVE-2019-0708, aka „BlueKeep,” o vulnerabilitate de securitate în RDP afectează Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 și Windows Server 2008 R2. Pe desktop, Windows 8 și versiuni ulterioare și pe servere, Windows Server 2012 și versiuni ulterioare, nu sunt afectate.vulnerabilitatea BlueKeep permite atacatorilor să ruleze cod de program arbitrar pe computerele victimelor lor., În timp ce chiar individuale atacatorii pot fi o amenințare, pentru că ei pot folosi instrumente automatizate pentru atacuri, această vulnerabilitate este „wormable,” ceea ce înseamnă că un atac ar putea răspândi în mod automat prin rețele fără nici o intervenție de către utilizatori, doar ca Win32/Diskcoder.C (aka NotPetya) și viermi Conficker au în trecut.
exploatarea vulnerabilităților vierme este în general considerată o problemă severă., Microsoft a atribuit vulnerabilitatea cea mai mare nivelul de severitate, Critică, în a publicat orientări pentru clienți, și în SUA Vulnerabilitate Națională de Date de intrare pentru CVE-2019-0708 este marcat ca 9.8 din 10. Microsoft a emis o postare pe blog recomandând cu tărie utilizatorilor să instaleze patch-urile sale, inclusiv cele pentru sistemele de operare out-of-support, cum ar fi Windows XP și Windows Server 2003., Preocupările legate de o wormable exploata fost atât de mare încât, la începutul lunii iunie, Agenția Națională de Securitate a emis o rară consultativ recomanda instalarea Microsoft patch-uri pentru defect.la începutul lunii septembrie, Rapid7, dezvoltatorul instrumentului Metasploit pentesting, a anunțat lansarea unui exploit BlueKeep. Deși nu au fost raportate escaladări majore în activitatea BlueKeep pentru următoarele două luni, Acest lucru s-a schimbat recent. La începutul lunii noiembrie, rapoartele de masă despre exploatarea BlueKeep au devenit publice, după cum au remarcat ZDNet și WIRED, printre alte puncte de știri., Atacurile au fost mai puțin succes, cu aproximativ 91% din computerele vulnerabile crashing cu o eroare de tip stop (aka bug verificare sau Ecran Albastru de Deces) atunci când atacatorul încearcă să exploateze BlueKeep vulnerabilitate. Cu toate acestea, pe restul de 9% din computerele vulnerabile, acești atacatori au instalat cu succes software-ul Monero cryptomining. Deci, deși nu temutul atac vierme, se pare că un grup criminal are o exploatare automată, deși fără o rată mare de succes.,
când am început inițial să scriu această postare pe blog, nu a fost intenția mea să intru într-o descriere detaliată a vulnerabilității și nici să ofer o cronologie a exploatării sale: Scopul meu a fost să ofer cititorilor o înțelegere a ceea ce trebuie făcut pentru a se proteja împotriva acestei amenințări. Deci, să aruncăm o privire la ceea ce trebuie făcut.
apărarea împotriva atacatorilor suportate de RDP
deci, cu toate acestea în minte, ce puteți face? Ei bine, primul lucru, evident, este să nu mai conectați direct la serverele dvs. pe internet folosind RDP., Acest lucru poate fi problematic pentru unele întreprinderi, deoarece pot exista motive aparent legitime pentru acest lucru. Cu toate acestea, cu suport atat pentru Windows Server 2008 și Windows 7 se încheie în ianuarie 2020, având în computere pe care rulează acestea și fiind direct accesibile folosind RDP prin internet reprezintă un risc pentru afacerea dvs., care ar trebui să fie deja de planificare pentru a atenua.acest lucru nu înseamnă că trebuie să opriți imediat utilizarea RDP, ci că trebuie să luați măsuri suplimentare pentru a-l asigura cât mai curând și cât mai repede posibil., În acest scop, am creat un tabel cu primii zece pași pe care îi puteți lua pentru a începe securizarea computerelor dvs. de atacurile bazate pe RDP.
| Recomandare pentru asigurarea RDP | Motiv |
|---|---|
| 1. Interziceți conexiunile externe la mașinile locale de pe portul 3389 (TCP/UDP) la firewall-ul perimetral.* | blochează accesul RDP de pe internet. |
| 2., Testați și implementați patch-uri pentru vulnerabilitatea CVE-2019-0708 (BlueKeep) și activați autentificarea la nivel de rețea cât mai repede posibil. | Instalarea Microsoft patch-uri și în urma lor prescriptiv orientări asigură dispozitive sunt protejate împotriva BlueKeep vulnerabilitate. |
| 3. Pentru toate conturile care pot fi conectate prin RDP necesită parole complexe (o frază de acces lungă care conține 15+ caractere fără fraze legate de afaceri, nume de produse sau utilizatori este obligatorie). | protejează împotriva atacurilor de ghicire a parolelor și de umplere a acreditărilor., Este incredibil de ușor să le automatizezi, iar creșterea lungimii unei parole le face exponențial mai rezistente la astfel de atacuri. |
| 4. Instalați autentificarea cu doi factori (2FA) și, cel puțin, solicitați-o în toate conturile care pot fi conectate prin RDP. | necesită un al doilea nivel de autentificare disponibil numai angajaților prin telefon mobil, token sau alt mecanism pentru conectarea la computere. |
| 5. Instalați un gateway virtual private network (VPN) pentru a broker toate conexiunile RDP din afara rețelei locale., | previne conexiunile RDP între internet și rețeaua locală. Vă permite să impuneți cerințe mai puternice de identificare și autentificare pentru accesul la distanță la computere. |
| 6. Parola-protejați software-ul de securitate endpoint utilizând o parolă puternică care nu are legătură cu conturile administrative și de servicii. | oferă un nivel suplimentar de protecție în cazul în care un atacator obține acces de administrator la rețeaua ta. |
| 7. Activați blocarea exploatării în software-ul de securitate endpoint., | multe programe de securitate punct final poate bloca, de asemenea, tehnici de exploatare. Verificați dacă această funcționalitate este activată. |
| 8. Izolați orice computer nesigur care trebuie accesat de pe internet folosind RDP. | implementați izolarea rețelei pentru a bloca computerele vulnerabile de restul rețelei. |
| 9. Înlocuiți calculatoarele nesigure. | dacă un computer nu poate fi patch-uri împotriva vulnerabilității BlueKeep, planul de înlocuire în timp util. |
| 10. Luați în considerare instituirea blocării geoIP la gateway VPN., | dacă personalul și furnizorii se află în aceeași țară sau o listă scurtă de țări, luați în considerare blocarea accesului din alte țări pentru a preveni conexiunile atacatorilor străini. |
*în mod implicit, RDP funcționează pe portul 3389. Dacă ați schimbat acest port la o valoare diferită, atunci acesta este portul care ar trebui blocat.
acest tabel este vag bazat pe ordinea importanței și ușurința de implementare, dar care poate varia în funcție de organizația dumneavoastră., Este posibil ca unele dintre acestea să nu fie aplicabile organizației dvs. sau poate fi mai practic să le faceți într-o ordine diferită sau pot exista măsuri suplimentare pe care organizația dvs. trebuie să le ia.trebuie să verificați dacă software-ul de securitate endpoint detectează vulnerabilitatea BlueKeep. BlueKeep este detectat ca RDP / Exploit.CVE-2019-0708 de către modulul ESET Network Attack Protection, care este o extensie a tehnologiei firewall a ESET prezentă în ESET Internet Security și ESET Smart Security Premium pentru consumatori și programele ESET endpoint protection pentru companii.,
Figura 2. ESET tehnologia Antimalware explicat: Atac de Rețea de Protecție
ar trebui remarcat, totuși, că există scenarii în cazul în care detectarea este posibil să nu apară, cum ar fi exploit crashing primul sistem, pentru că este de încredere. Pentru ca acesta să fie mai eficient, ar trebui să fie asociat cu un alt exploit, cum ar fi o vulnerabilitate de dezvăluire a informațiilor care dezvăluie adresele de memorie ale kernelului, astfel încât acestea să nu mai fie ghicite., Acest lucru ar putea reduce cantitatea de accidente, deoarece exploatarea curentă efectuează un spray atât de mare.
Dacă utilizați software de securitate de la un alt furnizor, verificați cu ei pentru a vedea dacă BlueKeep este detectat și cum.rețineți că acești pași reprezintă doar începutul a ceea ce puteți face pentru a vă proteja împotriva atacurilor RDP. Deși detectarea atacurilor este un început bun, nu este un substitut pentru patch-uri sau înlocuirea computerelor vulnerabile. Personalul dvs. de securitate a informațiilor și partenerii de încredere în domeniul securității vă pot oferi îndrumări suplimentare specifice mediului dvs.,
Folosind ESET BlueKeep (CVE-2019-0708) vulnerabilitatea checker
ESET a lansat un program gratuit BlueKeep (CVE-2019-0708) instrument pentru a verifica dacă un computer care execută Windows este vulnerabil la o exploatare. Din momentul publicării, instrumentul poate fi descărcat de la:
(asigurați-vă că pentru a verifica ESET Instrumente și Utilități pagina pentru versiunile mai noi)
Acest program a fost testat împotriva 32-bit și 64-biți ale Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 și Windows Server 2008 R2 înainte și după aplicarea Microsoft actualizări pentru BlueKeep., Pentru a utiliza programul, executați executabilul. Nu există argumente în linia de comandă pentru a fi utilizate cu lansarea inițială.
când este rulat, programul va raporta dacă sistemul este vulnerabil la exploatare, dacă sistemul este patch-uri împotriva exploatării, sau dacă sistemul nu este vulnerabil la exploatarea BlueKeep. În cazul în care sistemul este vulnerabil, instrumentul va duce utilizatorul la pagina web pentru a descărca corecția corespunzătoare pe site-ul Web Microsoft.,deși acesta este un instrument cu un singur scop destinat uzului personal și nu este destinat utilizării în masă într-un mediu automatizat, acesta are o raportare limitată a erorilor. Pentru scripting, instrumentul returnează un ERRORLIVEL de zero dacă sistemul este protejat și unul dacă este vulnerabil sau a apărut o eroare.
Figura 3. Exemplu de instrument care rulează pe unpatched Windows 7 sistem
Figura 4., Exemplu de rularea instrument pe patch-uri de sistem Windows 7
Figura 5. Exemplu de rularea instrument pe non-vulnerabile Windows 10 sistem
ultimele gânduri și suplimentare de lectură
în Timp ce BlueKeep exploatare nu poate deveni larg răspândită, includerea sa în pentesting instrumente înseamnă că acesta va deveni o parte permanentă de securitate in-house teste. Deci, soluția reală pentru prevenirea exploatării BlueKeep este eliminarea dispozitivelor vulnerabile din rețeaua companiei dvs.,cu toate acestea, este posibil să nu fie întotdeauna posibil, deoarece un dispozitiv vulnerabil ocupă un rol critic în afacere, din cauza costurilor sau din alte motive. Am susținut mult timp adoptarea unei abordări stratificate a securității, iar protejarea împotriva BlueKeep nu face excepție. De fapt, unii dintre pașii descriși mai sus, de exemplu, instalarea unei aplicații 2FA, cum ar fi autentificarea securizată ESET, vă pot ajuta să vă asigurați rețelele de intruși și alte amenințări.
Mai multe informații despre RDP și BlueKeep pot fi găsite la:
- CSO Online., Microsoft îndeamnă clienții Windows să remedieze defectele RDP vierme. (15 Mai 2019)
- Descrierea actualizare de securitate pentru cod distanță de executare vulnerabilitate în Windows XP SP3, Windows Server 2003 SP2, Windows Server 2003 R2 SP2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009, și Windows Embedded Standard 2009. (17 iunie 2019)
- îndrumare pentru clienți pentru CVE-2019-0708 | servicii Desktop la distanță vulnerabilitate executare cod la distanță: 14 Mai 2019., (14 Mai 2019)
- CVE-2019-0708 | servicii Desktop la distanță vulnerabilitate executare cod la distanță. (14 Mai 2019)
- Configurați autentificarea la nivel de rețea pentru conexiunile la servicii Desktop la distanță. (13 iunie 2013)
- CVE-2019-0708. (nedatat)
- NSA Cybersecurity Advisory: Patch servicii Desktop la distanță pe versiunile vechi de Windows. (4 iunie 2019)
- o actualizare a vulnerabilității Microsoft Windows RDP „BlueKeep” (CVE-2019-0708) . (22 Mai 2019)
- US-CERT, Technical Alert AA19-168a: Microsoft Operating Systems BlueKeep Vulnerability., (17 iunie 2019)
- primele atacuri BlueKeep avertizează noi avertismente. (11 noiembrie 2019)
- Microsoft avertizează asupra unor noi defecte de tip BlueKeep. (15 August 2019)
- patch-urile BlueKeep nu progresează suficient de repede. (17 iulie 2019)
- NSA se alătură chorus îndemnând utilizatorii Windows să patch-uri „BlueKeep”. (6 iunie 2019)
- Patch-uri acum! De ce vulnerabilitatea BlueKeep este o afacere mare. (22 Mai 2019)
- activitate intensă de scanare detectată pentru defectul RDP BlueKeep. (26 Mai 2019)
Mulțumiri speciale colegilor mei Alexis Dorais-Joncas, Bruce P. Burrell, Michal F.,, Nick FitzGerald, Branislav O., Matúš P., Peter R., Peter Stančík, Štefan S. și alți colegi de la ESET pentru asistența acordată acestui articol.
MITRE ATT&CK tehnici
| Tactica | ID | Nume | Descriere |
|---|---|---|---|
| Accesul Inițial | T1076 | Remote Desktop Protocol | BlueKeep foloseste o vulnerabilitate în Protocol Desktop la Distanță., |
| T1133 | External Remote Services | BlueKeep exploits public-facing RDP servers on the Internet. | |
| Command and Control | T1071 | Standard Application Layer Protocol | BlueKeep uses port 3389 by default for command and control. |
| T1043 | Commonly Used Port | BlueKeep uses port 3389 by default for attack targeting. | |
| Lateral Movement | T1210 | Exploitation of Remote Services | BlueKeep exploits public-facing RDP servers on the Internet., |
| de Atenuare | M1035 | Limita Accesul la Resurse în rețea | a Preveni BlueKeep pătrunderea deși utilizarea de poarta de acces VPN. |
| M1050 | Exploit Protection | prevenirea pătrunderii BlueKeep prin utilizarea de protecție exploit în Endpoint security. | |
| M1032 | autentificare multi-factor | utilizați MFA pentru toate conectările efectuate prin RDP. | |
| M1031 | Rețea de Prevenire a Intruziunilor | a Preveni BlueKeep pătrunderea prin utilizarea rețelei de protecție endpoint security., | |
| M1051 | Actualizare Software | a Preveni BlueKeep exploatare prin instalarea de CVE-2019-0708 patch-uri sau upgrade-ul la non-vulnerabile versiunea sistemului de operare. | |
| M1049 | Antivirus/Antimalware | a Preveni BlueKeep cod de atac de funcționare prin utilizarea de endpoint security. |
încă mai folosesc calculatoarele vulnerabile la BlueKeep? A ajutat verificatorul de vulnerabilitate BlueKeep (CVE-2019-0708) al ESET? Dacă da, ce măsuri ați luat pentru a atenua exploatarea? Asigurați-vă că ne anunțați, mai jos!,