Почему уязвимость BlueKeep имеет важное значение

отредактировано сентября 2019 Раздел: Уязвимости систем и приложений
Помните панику, которая охватила организации по всему миру 12 мая 2017 года, когда машина за машиной отображала экран выкупа WannaCryptor? Что ж, в ближайшие дни, недели или месяцы у нас может случиться аналогичный инцидент, если компании не будут обновлять или иным образом защищать свои старые системы Windows сразу. Причина заключается в BlueKeep, критической уязвимости удаленного выполнения кода (RCE) в службах удаленных рабочих столов, которая может вскоре стать новым средством распространения вредоносных программ. Исправления Microsoft для поддерживаемых, а также некоторых неподдерживаемых операционных систем доступны с 14 мая.

Уязвимость BlueKeep была обнаружена в службах удаленных рабочих столов (также называемых службами терминалов). При успешном использовании в будущем он может разрешить доступ к целевому компьютеру через бэкдор, не требуя учетных данных или взаимодействия с пользователем.

Уязвимость является «крайне опасной». Это означает, что будущие эксплойты могут использовать его для распространения вредоносного ПО внутри или вне сетей аналогично тому, как это было с WannaCryptor.

После выпуска Microsoft этих последних исправлений исследователи в области безопасности смогли создать несколько рабочих доказательств концепции, но на момент написания ни один из них не был опубликован публично, и нет известных случаев использования уязвимости в дикой природе.

Уязвимость, обозначенная как CVE-2019-0708, затрагивает несколько версий операционных систем Microsoft с поддержкой и без поддержки. Пользователи Windows 7, Windows Server 2008 R2 и Windows Server 2008 с автоматическими обновлениями защищены. Microsoft также выпустила специальные обновления для двух не поддерживаемых версий, а именно для Windows XP и Windows Server 2003, которые доступны через этот сайт. Windows 8 и Windows 10 не подвержены этой уязвимости.

Microsoft не выпустила исправления для Windows Vista, несмотря на то, что эта версия также подвержена этой уязвимости. Единственное решение здесь - полностью отключить протокол удаленного рабочего стола (RDP) или разрешить его использование только при доступе через VPN.

Важно отметить, что любая компания, использующая неправильно настроенную RDP через Интернет, подвергает риску своих пользователей и ресурсы. Помимо уязвимостей, таких как BlueKeep, злоумышленники также пытаются грубо взломать компьютеры компании и внутренние системы.

Случай с BlueKeep сильно напоминает события двухлетней давности. 14 марта 2017 года корпорация Майкрософт выпустила исправления для уязвимой уязвимости в протоколе Server Message Block (SMB), посоветовав всем пользователям незамедлительно установить исправления на своих компьютерах с Windows.

Причиной этого стал эксплойт EternalBlue - вредоносный инструмент, предположительно разработанный и украденный из Агентства национальной безопасности (АНБ), - который предназначался для лазейки SMB. Месяц спустя EternalBlue просочился в Интернет и через несколько недель стал средством для двух самых разрушительных кибератак в новейшей истории - WannaCry (ptor) и NotPetya (Diskcoder.C).

Подобный сценарий может разворачиваться с BlueKeep, учитывая его плохую природу. Прямо сейчас, это только вопрос времени, когда кто-то опубликует работающий эксплойт или автор вредоносного ПО начнет продавать его на подпольных рынках. Если это произойдет, это, вероятно, станет очень популярным среди менее квалифицированных киберпреступников, а также выгодным активом для его создателя.

BlueKeep также покажет, извлекли ли организации по всему миру урок после крупных вспышек 2017 года и улучшили ли они свои правила безопасности и процедуры исправления.

Подводя итог, организациям и пользователям рекомендуется:
1. Патч, патч, патч. Если вы или ваша организация используете поддерживаемую версию Windows, обновите ее до последней версии. Если возможно, включите автоматическое обновление. Если вы по-прежнему используете неподдерживаемую Windows XP или Windows Server 2003 - по какой-либо причине - загрузите и примените исправления как можно скорее.

2. Отключить протокол удаленного рабочего стола. Несмотря на то, что сам RDP не является уязвимым, Microsoft рекомендует организации отключать его до тех пор, пока не будут применены последние исправления. Кроме того, чтобы минимизировать поверхность атаки, RDP следует включать только на тех устройствах, где он действительно используется и необходим.

3. Настройте RDP правильно. Если ваша организация обязательно должна использовать RDP, избегайте показа его в общедоступном Интернете. Только устройства в локальной сети или доступ через VPN должны иметь возможность устанавливать удаленный сеанс. Другим вариантом является фильтрация доступа RDP с помощью брандмауэра, который вносит в белый список только определенный диапазон IP-адресов. Безопасность ваших удаленных сеансов может быть улучшена с помощью многофакторной аутентификации.

4. Включить аутентификацию на уровне сети (NLA). BlueKeep может быть частично смягчен включением NLA, так как он требует, чтобы пользователь проходил аутентификацию до того, как будет установлен удаленный сеанс, и уязвимость может быть использована неправильно. Однако, как добавляет Microsoft, «затронутые системы по-прежнему уязвимы для использования удаленного выполнения кода (RCE), если у злоумышленника есть действительные учетные данные, которые можно использовать для успешной аутентификации».

5. Используйте надежное многоуровневое решение для обеспечения безопасности, которое может обнаруживать и смягчать атаки, использующие уязвимость на уровне сети.

https://www.welivesecurity.com/2019/05/22/patch-now-bluekeep-vulnerability/

Тэги темы:

Комментарии

  • отредактировано октября 2019 PM
    Специалисты по информационной безопасности оценили количество доступных онлайн устройств с непропатченной уязвимостью BlueKeep (CVE-2019-0708). По мнению экспертов, под угрозой находится не менее 950 тыс. машин. Эксплойты для удаленного выполнения стороннего кода через этот баг пока не опубликованы, однако аналитики отмечают рост числа сканов, нацеленных на выявление систем с открытым RDP-портом.

    Для того чтобы определить количество уязвимых устройств, ИБ-специалисты применили утилиту masscan, предназначенную для поиска доступных в Сети TCP-портов. Как выяснили исследователи, в данный момент в Интернете насчитывается более 7 млн машин, использующих порт 3389, на котором обычно работает RDP-служба.

    Несмотря на столь внушительную цифру, не все хосты оказались уязвимыми к атакам BlueKeep. Как отмечают исследователи, среди выдачи довольно много «мусора», а также компьютеров с RDP-доступом, не использующих Windows. Тем не менее, повторный анализ полученных результатов позволил выявить следующее:

    Примерно на 1,4 млн Windows-устройств уже установлен патч, решающий проблему.
    Более 1,2 млн компьютеров требуют предварительной аутентификации для доступа к порту 3389 и могут считаться частично защищенными.
    В 82 тыс. случаев на этом порту работает не RDP, а HTTP.
    Почти 950 тыс. компьютеров уязвимы к атакам через BlueKeep.

    https://threatpost.ru/more-than-950000-computers-still-vulnerable-to-bluekeep-bug/32838/

    +
    14 мая Microsoft выпустила патч для исправления критической уязвимости CVE-2019-0708 более известной, как «BlueKeep» - уязвимость в службах удаленных рабочих столов RDS (на более ранних ОС – служба терминалов TS) в ОС Windows, которая позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного кода на атакуемой системе.

    Для эксплуатации этой уязвимости злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым). Важно отметить, что любое вредоносное ПО, использующее эту уязвимость, может перемещаться с одного уязвимого компьютера на другой аналогично шифровальщику WannaCry, который распространился по всему миру в 2017 году.

    Проблема актуальна для Windows 7, Windows Server 2008 R2 и Windows Server 2008, а также Windows 2003 и Windows XP, последняя из которых не поддерживается.

    https://www.infosec.ru/analitika/tekhnicheskaya-analitika/bluekeep-wannacry-vozvrashchaetsya/

  • отредактировано декабря 2019 PM
    Во ежемесячном патче Microsoft объявила, что была обнаружена уязвимость в Remote Desktop Services, которая может позволить вредоносному вредоносному ПО, например, вымогателю, легко распространяться через уязвимые системы.

    Эта уязвимость, теперь известная как BlueKeep, получила уникальный идентификатор CVE-2019-0708 и распространяется на Windows 7, Windows 2008 R2, Windows Server 2008, Windows XP и Windows Server 2003. Из-за своей серьезности Microsoft выпустила исправления для всех поддерживаемые версии Windows, а также для Windows XP и Windows Server 2003, которые больше не получали обновления безопасности.

    С тех пор многие поставщики и исследователи безопасности успешно создали экспериментальные эксплойты, которые могут использовать эту уязвимость. Хотя ни один из них не был выпущен, неудивительно, если разработчик вредоносного ПО и субъекты угроз работали над своими собственными эксплойтами.

    Зная, что эксплойт неизбежно будет создан, Microsoft выпустила второе предупреждение, а Агентство национальной безопасности (NSA) выпустило извещение, призывающее пользователей Windows применять исправления.

    Чтобы помочь в этом, исследователи создали инструменты и сценарии, которые можно использовать, чтобы проверить, уязвима ли машина Windows к уязвимости BlueKeep, чтобы их можно было исправлять.

    Ниже мы описали два доступных инструмента.

    Как найти системы Windows, затронутые BlueKeep
    RDPScan Роберт Грэм (Windows / macOS)

    Исследователь безопасности Роб Грэм (Rob Graham) создал программу под названием RDPScan для Windows и macOS, основанную на патче Zdesos0x0 rdesktop.

    Чтобы использовать RDPScan, просто загрузите последнюю версию из раздела релизов проекта. После загрузки вы можете запустить программу из командной строки, используя следующие команды:
    Сканирование одного хоста:
    rdpscan [ip_address]
    rdpscan 192.168.1.29

    Сканирование диапазона IP-адресов:
    rdpscan [start_ip_address] - [end_ip_address]
    rdpscan 192.168.1.29-192.168.1.100

    Сканирование сети с использованием CIDR:
    rdpscan [сеть] / [cidr_notation]
    rdpscan 192.168.1.0/24

    При использовании RDPScan он будет проверять каждый из IP-адресов, чтобы определить, открыт ли порт 3389, а затем определить, уязвим ли компьютер. Чтобы изменить сканируемый порт, вы можете использовать аргумент -p. Вы также можете использовать аргумент --workers, чтобы увеличить скорость сканирования.

    Для получения полного списка аргументов используйте rdpscan -h.

    При сканировании на наличие уязвимости в списке указывается «Безопасный», «Уязвимый» или «Неизвестный». На всех хостах, помеченных как уязвимые, как показано ниже, должны быть установлены соответствующие обновления безопасности.

    https://www.bleepingcomputer.com/news/security/finding-windows-systems-affected-by-bluekeep-remote-desktop-bug/
  • отредактировано декабря 2019 PM
    Пришло время отключить доступ к RDP из интернета

    Уязвимость BlueKeep (CVE-2019-0708) до настоящего времени не вызывала широкомасштабного хаоса, и мы рассмотрим причины, по которым она все еще находится на очень ранней стадии жизненного цикла эксплуатации. Факт остается фактом, что многие системы все еще не исправлены, и все еще можно найти полностью исправленную версию эксплойта. Из-за этих факторов ESET создала бесплатную утилиту для проверки уязвимости системы.
    https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetbluekeepchecker.exe

    Существует множество серверов, работающих под управлением различных версий серверных операционных систем Microsoft Windows, которые напрямую подключены к Интернету, что практически не обеспечивает безопасности доступа к ним.

    Что такое RDP?

    RDP, сокращение от «Протокол удаленного рабочего стола», позволяет одному компьютеру подключаться к другому компьютеру по сети, чтобы использовать его удаленно. В домене компьютеры с операционной системой Windows Client, такой как Windows XP или Windows 10, поставляются с предустановленным клиентским программным обеспечением RDP как часть операционной системы, которая позволяет им подключаться к другим компьютерам в сети, включая сервер организации ( с).

    Сегодня, обычно к пользователям RDP относятся системные администраторы, выполняющие удаленное администрирование серверов, а также удаленные работники, которые могут подключаться к виртуализированным настольным компьютерам внутри домена своей организации.

    За последние несколько лет в ESET наблюдают рост числа случаев, когда злоумышленники подключались к Интернету с помощью RDP удаленно к Windows Server через Интернет и входили в систему как администратор компьютера. После того, как злоумышленники войдут на сервер как администратор. Далее, они выполняют различные действия:
    очистка лог-файлов, содержащих доказательства их присутствия в системе
    отключение запланированных резервных копий и теневых копий;
    отключение защитного программного обеспечения или настройка исключений в нем (что разрешено администраторам);
    загрузка и установка различных программ на сервер;
    стирание или перезапись старых резервных копий, если они доступны;
    эксфильтрация данных с сервера;
    установка программ добычи монет для генерации криптовалюты, таких как Monero;
    установка Ransomware с целью вымогательства денег у организации, которые часто выплачиваются с использованием криптовалюты, такой как биткойны.

    Уязвимость BlueKeep позволяет злоумышленникам запускать произвольный программный код на компьютерах своих жертв. Поскольку они могут использовать автоматизированные инструменты для атак, эта атака может распространяться автоматически по сетям без какого-либо вмешательства пользователей, как Win32 / Diskcoder.C ( ака NotPetya) и Conficker в прошлом.

    В начале сентября Rapid7, разработчик инструмента Metasploit, объявил о выпуске эксплойта BlueKeep. Несмотря на то, что в течение следующих нескольких месяцев не было зарегистрировано заметного увеличения активности BlueKeep, в последнее время ситуация изменилась. В начале ноября, как отмечают ZDNet и WIRED, стали доступны массовые сообщения об эксплуатации BlueKeep. По сообщениям, атаки были менее чем успешными: около 91% уязвимых компьютеров вылетали с ошибкой остановки (так называемая проверка ошибок или синий экран смерти), когда злоумышленник пытается использовать уязвимость BlueKeep. Однако на оставшихся 9% уязвимых компьютеров эти злоумышленники успешно установили программное обеспечение для криптомайнинга Monero.

    Защита от злоумышленников, атакующих RDP

    Итак, учитывая все это, что вы можете сделать? Ну, во-первых, очевидно, чтобы прекратить подключение напрямую к вашим серверам через Интернет с помощью RDP. Поддержка Windows Server 2008 и Windows 7 заканчивается в январе 2020 года, наличие компьютеров под управлением этих компьютеров и их прямой доступ через RDP через Интернет представляет собой риск для вашего бизнеса, который вы уже должны планировать снизить.

    Это не означает, что вам необходимо немедленно прекратить использование RDP, но вам необходимо предпринять дополнительные шаги, чтобы обезопасить его как можно скорее и как можно быстрее. С этой целью мы создали таблицу с десятью основными шагами, которые вы можете предпринять, чтобы начать защищать свои компьютеры от атак на основе RDP.
    1. Запретить внешние подключения к локальным компьютерам через порт 3389 (TCP / UDP) на межсетевом экране периметра. * Блокирует доступ к RDP из Интернета.
    (* По умолчанию RDP работает на порте 3389. Если вы изменили этот порт на другое значение, то этот порт должен быть заблокирован.)

    2. Протестируйте и разверните исправления для уязвимости CVE-2019-0708 (BlueKeep) и включите аутентификацию на уровне сети (NLA) как можно быстрее. Установка исправления Microsoft и следование их предписывающим рекомендациям помогает обеспечить защиту устройств от уязвимости BlueKeep.

    3. Для всех учетных записей, в которые можно войти через RDP, требуются сложные пароли (обязательна длинная парольная фраза, содержащая более 15 символов). Защищает от взлома паролей и взлома учетных данных.

    4. Установите двухфакторную аутентификацию (2FA) и, как минимум, требуйте ее для всех учетных записей, в которые можно войти через RDP. Требуется второй уровень аутентификации, доступный сотрудникам только через мобильный телефон, токен или другой механизм для входа в компьютеры.

    5. Установите шлюз виртуальной частной сети (VPN), чтобы обеспечить безопасность во всех RDP-подключениях вне локальной сети. Предотвращает RDP-соединения между интернетом и вашей локальной сетью.

    6. Защитите программное обеспечение для защиты конечных точек паролем, используя надежный пароль, не связанный с учетными записями администраторов и служб.

    7. Включите блокировку эксплойтов в программном обеспечении безопасности конечных точек. Убедитесь, что эта функция включена.

    8. Изолируйте любой небезопасный компьютер, к которому требуется доступ из Интернета, используя RDP.

    9. Заменить небезопасные компьютеры. Если компьютер не может быть исправлен с помощью уязвимости BlueKeep, запланируйте его своевременную замену.

    10. Рассмотрите возможность блокировки geoIP на шлюзе VPN. Если сотрудники и поставщики находятся в одной и той же стране или в небольшом списке стран, рассмотрите возможность блокировки доступа из других стран, чтобы предотвратить соединения со стороны иностранных злоумышленников.

    Использование средства проверки уязвимости ESET BlueKeep (CVE-2019-0708)

    ESET выпустила бесплатный инструмент BlueKeep (CVE-2019-0708), чтобы проверить, уязвим ли компьютер под управлением Windows. На момент публикации инструмент можно загрузить с:
    Program ESET BlueKeep (CVE-2019-0708) vulnerability checker
    Version 1.0.0.1
    Location https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetbluekeepchecker.exe
    SHA-1 hash C0E66EA2659D2EA172950572FDB5DE881D3882D8

    При запуске программа сообщит, уязвима ли система для эксплуатации BlueKeep или нет. В случае уязвимости системы инструмент переместит пользователя на веб-страницу, чтобы загрузить соответствующий патч на веб-сайте Microsoft.

    zh4m7q1881yd.jpg

    подробнее здесь:

    https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-internet/
    p.s.
    Windows Server 2008 R2: Почему нужно пользоваться проверкой подлинности на уровне сети
    http://www.oszone.net/18001/
Войдите или Зарегистрируйтесь чтобы комментировать.