Site icon Martin Haller, Blog o ochraně a správě firemního IT

Zranitelnosti RDP – BlueKeep a DejaBlue

BlueKeep

Poslední roky je velice populární dávat objeveným chybám jména a vytvářet k nim informační weby. Už je jich tolik, že se člověk v těch názvech lehce ztratí. Nicméně BlueKeep a DejaBlue za pozornost každého správce Windows prostředí určitě stojí!

Minulý týden (13. 8. 2019) Microsoft v rámci svého pravidelného „patch Tuesday“ informoval o dalších 4 kritických chybách, které nalezl ve své implementaci RDP. Všechny tyto chyby, spolu s chybou objevenou v květnu, jsou velice závažné, protože:

Jmenovitě se jedná o následující chyby:

V tuto chvíli jsou již neveřejně dostupné funkční exploity na první zranitelnost BlueKeep (např. součástí penetračního frameworku „Canvas“, či pro konzultanty „NCC Group Infosec“) i pozdější zranitelnosti DejaBlue (DejaBlue PoC Tencent). Tudíž se nebavíme o tom, jestli exploit vznikne, ale o tom, kdy se dostane do rukou někomu, kdo jej má v plánu zneužít. Pokud se tak již nestalo. Následně bude, dle mne, docházet k následujícím dvěma druhům útoků.

Útok na zařízení dostupná z internetu

Hackeři zaútočí napřímo na zranitelné servery dostupné z internetu.

Počet veřejně dostupných zařízení (veřejně dostupné RDP z internetu), které obsahují chybu BlueKeep, můžeme získat ze služby Shodan. Podle jejich statistik k 19. 8. 2019 to vypadá následovně (poznámka: některá započítaná zařízení mohou být honeypoty):

Počty zařízení zranitelných na zranitelnost DejaBlue bohužel zatím neznám. Očekávám však, že jejich číslo bude vyšší, protože:

První hackerská skupina, která tak zaútočí, může vcelku s malou námahou vytvořit botnet o vyšších desítkách tisíc zařízení (cílem může být ransomware, těžba kryptoměn).

Útok z lokální sítě

První varianty útoku se většina lidí nebojí, protože nemají RDP dostupná přímo z internetu. To však neznamená, že se jich chyba netýká. Pokud se útočník dostane dovnitř sítě, bude moci všechna zranitelná zařízení napadnout. Čeho se bojím tedy nejvíce? Že vznikne počítačový červ (viz můj článek „Nejčernější hrozba, které se v IT bezpečnosti bojím“), který se dostane jedním typem útoku dovnitř sítě (např. skrze zavirovanou přílohu v e-mailu) a jakmile bude v síti, začne skrze RDP napadat všechny dostupné počítače.

Pokud se to zkombinuje s vyčítáním a zneužíváním uložených hesel, nebo hesel právě přihlášených uživatelů na napadených počítačích, může se stát, že takový červ položí celou firemní síť během několika minut. Rychlost šíření s časem exponenciálně roste – každý napadený počítač se totiž přidává k útoku a napadá další počítače. Stejně jako se to stalo firmě Maersk, která přišla o více jak 50.000 zařízení během 7 minut.

Přičemž obnovit celou firemní síť trvá řádově dny. Stojí to hodně peněz na lidské práci a ještě více peněz na ušlém zisku a poškozené pověsti firmy. Také je nutné se zamyslet, zda zálohy takovýto útok přežijí – jestli server se zálohami nebude jedním z prolomených serverů (chybějící aktualizace či stejná ověřovací doména).

Závěr

Souhlasím s urgencemi, s jakými se o těchto chybách píše na internetu „US company selling weaponized BlueKeep exploit“, „RDP BlueKeep exploit shows why you really, really need to patch“. I jak o nich píše sám Microsoft „Protect against bluekeep“, „Patch new wormable vulnerabilities in Remote Desktop Services (CVE-2019-1181/1182)“. Doporučuji s aktualizacemi neotálet.

Řešení typu zakázat RDP, či zapnout NLA nejsou dostatečná (tím neříkám, že byste NLA neměli mít zapnuté a RDP vypnuté, pokud jej nepoužíváte), protože:

Kolegové, děkuji za přečtení, snad vám mé postřehy k bezpečnosti, BlueKeep a DejaBlue byly užitečné. Pokud ano, děkuji za sdílení článku a budu se těšit na vaše názory v komentářích.

Nechť vaše sítě nejsou nikdy prolomeny. ✌🙏

Martin Haller

#zalepšíIT

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Exit mobile version