Brute-force attacker och BlueKeep utnyttjar tillskansa bekvämlighet direkt RDP-anslutningar; ESET släpper ett verktyg för att testa din Windows-maskiner för sårbara versioner
Medan BlueKeep (CVE-2019-0708) sårbarhet har hittills inte orsakat omfattande förödelse, och vi kommer att titta på varför i det här inlägget, det är fortfarande väldigt tidigt i sin exploatering livscykel. Faktum kvarstår att många system fortfarande inte är lappade, och en grundligt maskbar version av exploateringen kan fortfarande hittas. På grund av dessa faktorer har ESET skapat ett gratis verktyg för att kontrollera om ett system är sårbart.,
Ibland måste du säga något om saker som” går utan att säga ” och det verkar det bästa sättet att starta det här inlägget är genom att nämna just det, eftersom det här inte är ett ämne jag förväntade mig att behöva skriva om i denna dag och ålder. Innan vi dyker in, låt oss börja med att titta på en gammal maxim.
det finns ett gammalt talesätt i fältet informationssäkerhet att om en motståndare har fysisk tillgång till din dator så är det inte din dator längre. Anledningen till detta är ganska enkelt: när angriparna har sina händer på en dator kan de ändra vad de vill ha., Installera enheter som hårdvara keyloggers, ta bort hårddiskar och kopiera dem, och på annat sätt ta bort, ändra eller lägga till något de vill ha på systemet alla blir exponentiellt lättare när du kan gå ända upp till datorn. Detta är inte en särskilt överraskande vändning, inte heller en särskilt smart sådan. Det är snarare en oundviklig sanning. För motståndarna är det bara en del av deras arbetsbeskrivning.
företag och skolor och alla typer av organisationer är dock inte blinda för detta., Dessa typer av platser inte sätta sina servrar i receptionen i lobbyn, receptionen, besökscentrum, väntrum eller andra platser där allmänheten eller, tänkbart, någon anställd, fakultet, student eller personal kan komma in och få fysisk tillgång till dem. Eller åtminstone tillåter inget företag som vill förbli i affärer detta. Vanligtvis finns det viss separation av servrarna, oavsett om de är i sitt eget dedikerade rum eller till och med undangömt i något bakre hörn som är förbjudet för de flesta anställda.,
ändå för all denna gemensamma kunskap överför de lärdomar som dragits om Säkerhet i den fysiska världen inte alltid bra (eller korrekt) till Internetvärlden. Det finns många servrar som kör olika versioner av Microsoft Windows server-operativsystem som är direkt anslutna till internet med vad som uppgår till liten eller ingen praktisk säkerhet runt vem som kan komma åt dem. Och det för oss till diskussionen om landsbygdsprogrammen.
Vad är RDP?
RDP, kort för Remote Desktop Protocol, tillåter en dator att ansluta till en annan dator via ett nätverk för att kunna använda den på distans., I en domän, datorer som kör ett Windows-klientoperativsystem, till exempel Windows XP eller Windows 10, kommer med RDP-klientprogramvara förinstallerad som en del av operativsystemet, vilket gör det möjligt för dem att ansluta till andra datorer i nätverket, inklusive organisationens server(er). En anslutning till en server i det här fallet innebär att det kan vara direkt till serverns operativsystem, eller det kan vara till ett operativsystem som körs inuti en virtuell maskin på den servern., Från den anslutningen kan en person öppna kataloger, ladda ner och ladda upp filer och köra program, precis som om du använder tangentbordet och bildskärmen som är ansluten till den servern.
RDP uppfanns av Citrix 1995 och säljs som del av en förbättrad version av Windows NT 3.51 kallas WinFrame. I 1998 lagt Microsoft RDP Windows NT 4.0 Terminal Server Edition., Sedan dess har protokollet varit en del av alla versioner av Microsofts sortiment av Windows Server-operativsystem, samt ingår i alla icke-hemanvändarutgåvor av Windows-klientoperativsystem sedan Windows XP släpptes 2001. Idag är vanliga användare av RDP systemadministratörer som gör fjärradministration av servrar från sina bås utan att behöva gå in i serverrummet, liksom fjärrarbetare som kan ansluta till virtualiserade skrivbordsmaskiner inom organisationens domän.
Vad gör angripare med RDP?,
under de senaste åren har ESET sett ett ökande antal incidenter där angriparna har anslutit på distans till en Windows-Server från internet med hjälp av RDP och loggat in som datorns administratör. När angriparna är inloggade på servern som administratör, kommer de vanligtvis att utföra vissa rekognoscering för att bestämma vad servern används för, av vem, och när den används.
När angriparna vet vilken typ av server de har kontroll över kan de börja utföra skadliga åtgärder.,s vi har sett inkluderar:
- rensa loggfiler som innehåller bevis på deras närvaro på systemet
- inaktivera schemalagda säkerhetskopior och skuggkopior
- inaktivera säkerhetsprogram eller ställa in uteslutningar i det (vilket är tillåtet för administratörer)
- ladda ner och installera olika program på servern
- radera eller skriva över gamla säkerhetskopior, om de är tillgängliga
- exfiltrating data från servern
detta är inte en komplett lista över alla de saker en angripare kan göra, inte heller är en angripare nödvändigtvis kommer att utföra alla dessa aktiviteter., Angripare kan ansluta flera gånger över dagar eller bara en gång, om de har en förutbestämd agenda., Medan den exakta arten av vad angripare kommer att göra varierar kraftigt, två av de vanligaste är:
- installera myntbrytningsprogram för att generera kryptovaluta, såsom Monero
- installera ransomware för att pressa pengar från organisationen, ofta betalas med kryptovaluta, såsom bitcoin
i vissa fall kan angripare installera ytterligare programvara för fjärrkontroll för att upprätthålla åtkomst (uthållighet) till kompromissade servrar om deras RDP-aktiviteter upptäcks och avslutas.,
Vi har inte sett några servrar som äventyrades både för att pressa via ransomware och att bryta kryptovaluta, men vi har sett fall där en server äventyrades av en angripare att bryta kryptovaluta, sedan senare äventyras av andra angripare som ändrade mynt gruvarbetare så att intäkterna gick till dem, istället. Det verkar som om det finns lite ära bland tjuvar.
kunskap kring RDP-attacker har nått en punkt som även sextortionsbedrägerier innehåller omnämnande av det i sina lösennoteringar i ett försök att få sina bedrägerier att låta mer legitima.,
Figur 1. Bild från sextortion e-bluff nämna RDP
För mer information om dessa typer av e-postbedrägerier, jag rekommenderar denna serie av artiklar av min kollega Bruce P. Burrell: Del i, Del II och Del III.
Massa RDP-attacker
– Attacker som utförs med RDP har varit långsamt, men stadigt ökar, och föremål för ett antal statliga bulletiner från FBI, STORBRITANNIENS NCSC, Kanada CCCS, och Australien ACSC, för att nämna några.,
i maj 2019 öppnade floodgaten med ankomsten av CVE-2019-0708, aka ”BlueKeep”, en säkerhetsproblem i RDP som påverkar Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 och Windows Server 2008 R2. På skrivbordet, Windows 8 och senare, och på servrar, Windows Server 2012 och senare, påverkas inte.
bluekeep-sårbarheten gör det möjligt för angripare att köra godtycklig programkod på offrens datorer., Medan även enskilda angripare kan vara ett utbrett hot eftersom de kan använda automatiserade verktyg för attacker, är denna sårbarhet ”maskbar”, vilket innebär att en attack kan sprida sig automatiskt över nätverk utan någon intervention av användare, precis som Win32/Diskcoder.C (aka NotPetya) och Conficker maskar har tidigare.
exploatering av maskbara sårbarheter anses allmänt vara ett allvarligt problem., Microsoft har tilldelat sårbarheten sin högsta allvarlighetsgrad, kritisk, i sin publicerade vägledning för kunder och i den amerikanska regeringens nationella Sårbarhetsdatabas görs posten för CVE-2019-0708 som 9.8 av 10. Microsoft utfärdade ett blogginlägg rekommenderar starkt att användarna installerar sina patchar, inklusive de för operativsystem som inte stöder operativsystem som Windows XP och Windows Server 2003., Oron för ett maskbart utnyttjande var så hög att USA: s nationella säkerhetsbyrå i början av juni utfärdade en sällsynt rådgivning som rekommenderade installation av Microsofts patchar för felet.
i början av September tillkännagav Rapid7, utvecklaren av Metasploit pentesting-verktyget, frisläppandet av en BlueKeep-exploit. Medan inga större eskaleringar i BlueKeep-aktivitet rapporterades för de närmaste månaderna har detta nyligen förändrats. I början av November blev massrapporter om BlueKeep exploatering offentliga, som ZDNet och WIRED noterade, bland andra nyhetsbutiker., Attackerna har enligt uppgift varit mindre än framgångsrika, med cirka 91% av sårbara datorer kraschar med ett stoppfel (aka bug check eller Blue Screen of Death) när angriparen försöker utnyttja BlueKeep sårbarheten. Men på de återstående 9% av sårbara datorer installerade dessa angripare framgångsrikt Monero cryptomining-programvara. Så, även om inte den fruktade mask attack, det verkar en kriminell grupp har automatiserad exploatering, om än utan en hög framgång.,
När jag ursprungligen började skriva det här blogginlägget var det inte min avsikt att gå in i en detaljerad beskrivning av sårbarheten, och det var inte heller att ge en tidslinje för dess utnyttjande: mitt mål var att ge läsarna en förståelse för vad som måste göras för att skydda sig mot detta hot. Så, låt oss ta en titt på vad som behöver göras.
försvara mot RDP-burna angripare
så, med allt detta i åtanke, vad kan du göra? Tja, det första är uppenbarligen att sluta ansluta direkt till dina servrar via internet med hjälp av RDP., Detta kan vara problematiskt för vissa företag, eftersom det kan finnas några till synes legitima skäl för detta. Men med stöd för både Windows Server 2008 och Windows 7 slutar i januari 2020, med datorer som kör dessa och är direkt tillgängliga med hjälp av RDP via internet utgör en risk för ditt företag att du redan bör planera att mildra.
det betyder inte att du omedelbart måste sluta använda RDP, men att du måste vidta ytterligare åtgärder för att säkra det så snart och så snabbt som möjligt., Mot detta ändamål har vi skapat ett bord med de tio bästa stegen du kan vidta för att börja säkra dina datorer från RDP-baserade attacker.
| rekommendation för att säkra RDP | anledning |
|---|---|
| 1. Tillåt inte externa anslutningar till lokala maskiner på port 3389 (TCP / UDP) vid perimeter firewall.* | blockerar RDP-åtkomst från internet. |
| 2., Testa och distribuera patchar för sårbarheten CVE-2019-0708 (BlueKeep) och aktivera autentisering på nätverksnivå så snabbt som möjligt. | installera Microsofts patch och följa deras normativa riktlinjer hjälper till att säkerställa att enheter är skyddade mot bluekeep sårbarhet. |
| 3. För alla konton som kan loggas in via RDP krävs komplexa lösenord (en lång lösenfras som innehåller 15+ tecken utan fraser relaterade till verksamheten, produktnamn eller användare är obligatorisk). | skyddar mot lösenord-gissa och credential-fyllning attacker., Det är otroligt lätt att automatisera dessa, och att öka längden på ett lösenord gör dem exponentiellt mer resistenta mot sådana attacker. |
| 4. Installera tvåfaktorsautentisering (2FA) och åtminstone kräva det på alla konton som kan loggas in via RDP. | kräver ett andra lager av autentisering endast tillgänglig för anställda via mobiltelefon, token eller annan mekanism för att logga in på datorer. |
| 5. Installera en Virtual private network (VPN) gateway för att mäkla alla RDP-anslutningar från utanför ditt lokala nätverk., | förhindrar RDP-anslutningar mellan internet och ditt lokala nätverk. Gör att du kan genomdriva starkare identifierings-och autentiseringskrav för fjärråtkomst till datorer. |
| 6. Lösenordsskydda Endpoint säkerhetsprogram med ett starkt lösenord som inte är relaterat till administrativa och servicekonton. | ger ett extra lager av skydd om en angripare får administratörsåtkomst till ditt nätverk. |
| 7. Aktivera exploatering blockering i endpoint säkerhetsprogram., | många endpoint – säkerhetsprogram kan också blockera exploateringstekniker. Kontrollera att funktionen är aktiverad. |
| 8. Isolera alla osäkra datorer som behöver nås från internet med hjälp av RDP. | implementera nätverksisolering för att blockera sårbara datorer från resten av nätverket. |
| 9. Byt ut osäkra datorer. | om en dator inte kan lappas mot bluekeep-sårbarheten, planera för att den ska ersättas i rätt tid. |
| 10. Överväga att inrätta geoIP blockering på VPN gateway., | om personal och leverantörer är i samma land, eller en kort lista över länder, överväga att blockera åtkomst från andra länder för att förhindra anslutningar från utländska angripare. |
*som standard fungerar RDP på port 3389. Om du har ändrat den här porten till ett annat värde är det porten som ska blockeras.
denna tabell är löst baserad på storleksordning och enkel implementering, men det kan variera beroende på din organisation., Några av dessa kanske inte är tillämpliga på din organisation, eller det kan vara mer praktiskt att göra dem i en annan ordning, eller det kan finnas ytterligare steg som din organisation behöver ta.
Du bör kontrollera att din endpoint-säkerhetsprogramvara upptäcker BlueKeep-sårbarheten. BlueKeep identifieras som RDP/Utnyttja.CVE-2019-0708 av ESET: s Network Attack Protection module, som är en förlängning av ESET: s brandväggsteknik som finns i ESET Internet Security och ESET Smart Security Premium för konsumenter, och ESET: s endpoint protection program för företag.,
Figur 2. ESET Antimalware technology förklarade: Network Attack Protection
det bör dock noteras att det finns scenarier där detektering inte kan inträffa, till exempel exploit först kraschar systemet eftersom det är opålitligt. För att det ska bli effektivare måste det paras ihop med ett annat utnyttjande, till exempel en sårbarhet för informationsupplysning som avslöjar kärnminnesadresser så att de inte längre behöver gissas., Detta kan minska mängden krascher, eftersom den nuvarande exploateringen utför en så stor heapspray.
om du använder säkerhetsprogram från en annan leverantör, kontrollera med dem för att se om BlueKeep upptäcks och hur.
Kom ihåg, dessa steg representerar bara början på vad du kan göra för att skydda mot RDP-attacker. Samtidigt har upptäckt för attacker är en bra start, Det är inte ett substitut för lapp eller ersätta sårbara datorer. Din informationssäkerhetspersonal och betrodda säkerhetspartners kan ge dig ytterligare vägledning som är specifik för din miljö.,
med Hjälp av ESET: s BlueKeep (CVE-2019-0708) sårbarhet checker
ESET har släppt ett gratis BlueKeep (CVE-2019-0708) verktyg för att kontrollera om en dator som kör Windows är sårbara för exploatering. Från och med publiceringstidpunkten kan verktyget laddas ner från:
(var noga med att kontrollera ESET: s Verktyg Och Verktygssida för nyare versioner)
det här programmet har testats mot 32-bitars och 64-bitarsversioner av Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 och Windows Server 2008 R2 före och efter att ha tillämpat Microsofts uppdateringar för BlueKeep., För att använda programmet, kör den körbara. Det finns inga kommandoradsargument för användning med den ursprungliga utgåvan.
När programmet körs kommer programmet att rapportera om systemet är sårbart för exploatering, om systemet är lappat mot exploatering, eller om systemet inte är sårbart för BlueKeep-exploatering. I händelse av att systemet är sårbart tar verktyget användaren till webbsidan för att ladda ner lämplig patch på Microsofts webbplats.,
Även om detta är ett enda verktyg avsett för personligt bruk och inte är avsett att användas för massanvändning i en automatiserad miljö, har det begränsad felrapportering. För scripting returnerar verktyget en felnivå på noll om systemet är skyddat och en om det är sårbart eller ett fel har uppstått.
Figur 3. Exempel på att köra verktyg på unpatched Windows 7 system
Figur 4., Exempel på att köra verktyg på patched Windows 7 system
Figur 5. Exempel på att köra verktyg på icke-sårbara Windows 10 system
slutliga tankar och ytterligare läsning
medan BlueKeep exploatering kan aldrig bli utbredd, dess införande i pentesting verktyg innebär att det kommer att bli en permanent del av interna säkerhetstester. Så, den verkliga lösningen för att förhindra BlueKeep exploatering är att ta bort sårbara enheter från ditt företags nätverk.,
det kan dock inte alltid vara möjligt att göra det eftersom en sårbar enhet har en kritisk roll i verksamheten, på grund av kostnad eller av andra skäl. Vi har länge förespråkat en skiktad strategi för säkerhet, och att skydda mot BlueKeep är inget undantag. Faktum är att några av stegen ovan, till exempel installera en 2FA-applikation som ESET Secure Authentication, kan hjälpa till att säkra dina nätverk från inkräktare och andra hot också.
ytterligare information om RDP och BlueKeep finns på:
- CSO Online., Microsoft uppmanar Windows-kunder att lappa maskbar RDP-fel. (15 maj 2019)
- beskrivning av säkerhetsuppdateringen för sårbarheten för fjärrkörning av kod i Windows XP SP3, Windows Server 2003 SP2, Windows Server 2003 SP2 R2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 och Windows Embedded Standard 2009. (17 juni 2019)
- Kunden vägledning för CVE-2019-0708 | Remote Desktop Services Fjärrkörning av Kod: 14 Maj 2019., (14 Maj 2019)
- CVE-2019-0708 | Remote Desktop Services Fjärrkörning av Kod. (14 maj 2019)
- konfigurera autentisering på nätverksnivå för anslutningar till Fjärrskrivbordstjänster. (13 juni 2013)
- CVE-2019-0708. (odaterat)
- NSA It Advisory: Patch Remote Desktop Services på Äldre Versioner av Windows. (4 juni 2019)
- En uppdatering på Microsoft Windows-RDP ”BlueKeep” Sårbarhet (CVE-2019-0708) . (22 Maj 2019)
- US-CERT, Tekniska Larm AA19-168A: Microsoft Operativsystem BlueKeep Sårbarhet., (17 juni 2019)
- första BlueKeep-attacker leder till nya varningar. (11 November 2019)
- Microsoft varnar för nya BlueKeep-liknande brister. (15 augusti 2019)
- BlueKeep patching fortskrider inte tillräckligt snabbt. (17 juli 2019)
- NSA går chorus uppmanar Windows-användare att lappa ’BlueKeep’. (6 juni 2019)
- Patch nu! Varför bluekeep sårbarhet är en stor sak. (22 maj 2019)
- intensiv skanningsaktivitet detekterad för BlueKeep RDP-fel. (26 Maj 2019)
ett Särskilt tack till mina kollegor Alexis Dorais-Joncas, Bruce P. Burrell, Michal F., Nick FitzGerald, Branislav O., Matúš P., Peter R., Peter Stančík, Štefan S., och andra kollegor från ESET för deras hjälp med denna artikel.
MITRE ATT&CK-tekniker
| taktik | ID | namn | beskrivning |
|---|---|---|---|
| initial access | t1076 | Remote Desktop Protocol | bluekeep utnyttjar en sårbarhet i Remote Desktop Protocol., |
| T1133 | External Remote Services | BlueKeep exploits public-facing RDP servers on the Internet. | |
| Command and Control | T1071 | Standard Application Layer Protocol | BlueKeep uses port 3389 by default for command and control. |
| T1043 | Commonly Used Port | BlueKeep uses port 3389 by default for attack targeting. | |
| Lateral Movement | T1210 | Exploitation of Remote Services | BlueKeep exploits public-facing RDP servers on the Internet., |
| begränsning | m1035 | begränsa tillgången till resurs över nätverket | förhindra BlueKeep inträngning genom användning av VPN gateway. |
| m1050 | Exploit Protection | förhindra BlueKeep inträngning genom användning av exploit protection i endpoint security. | |
| m1032 | Multifaktorsautentisering | använd MFA för alla inloggningar som utförs via RDP. | |
| m1031 | förebyggande av nätverksintrång | förhindra BlueKeep inträngning genom användning av nätverksskydd i endpoint säkerhet., | |
| m1051 | Uppdatera programvara | förhindra BlueKeep exploatering via installation av CVE-2019-0708 patch eller uppgradera till icke-sårbar Operativsystemversion. | |
| m1049 | Antivirus/Antimalware | förhindra att BlueKeep attack code körs genom användning av endpoint security. |
använder du fortfarande datorer som är sårbara för BlueKeep? Hjälpte ESETs BlueKeep (CVE-2019-0708) vulnerability checker? Om så är fallet, vilka åtgärder har ni vidtagit för att mildra utnyttjandet? Var noga med att låta oss veta, nedan!,