Poslední roky je velice populární dávat objeveným chybám jména a vytvářet k nim informační weby. Už je jich tolik, že se člověk v těch názvech lehce ztratí. Nicméně BlueKeep a DejaBlue za pozornost každého správce Windows prostředí určitě stojí!
Minulý týden (13. 8. 2019) Microsoft v rámci svého pravidelného „patch Tuesday“ informoval o dalších 4 kritických chybách, které nalezl ve své implementaci RDP. Všechny tyto chyby, spolu s chybou objevenou v květnu, jsou velice závažné, protože:
- Nachází se v globálně komponentě/programu: chyba se nachází v implementaci RDP serveru (myšleno z pohledu architektury klient-server, nikoliv jako serverový OS), která se nachází v každém operačním systému Microsoft Windows (všechny verze i edice) a ve firemním prostředí je běžně zapnutá.
- Nevyžadují uživatelskou součinnost: není třeba nikomu posílat falešné e-maily, či jinak nutit uživatele k nějaké akci (někam kliknout, něco spustit). Stačí, pokud je daný počítač zranitelný (má povolené RDP bez NLA ve zranitelné verzi) a pro útočníka je síťově dosažitelný.
- Útok se na zařízení detekuje: současné exploity jsou bezsouborové (kód útoku se objeví čistě jen v RAM), na zařízení se nezalogují události do prohlížeče událostí (pokud není velice citlivě nastaven, záleží na shellcode v exploitu). Protože je exploit bezsouborový, mohou mít s jeho detekcí problém i některé antiviry.
- Výsledkem je plné ovládnutí zařízení: pokud je útok úspěšný, získá útočník systémová oprávnění nad daným zařízením – tudíž jej plně ovládne.
Jmenovitě se jedná o následující chyby:
- CVE-2019-0708 – (BlueKeep) Remote Desktop Services Remote Code Execution Vulnerability (14. 5. 2019) – Windows XP/Windows Server 2000 až Windows 7/Windows Server 2008 R2
- CVE-2019-1181 – (DejaBlue) Remote Desktop Services Remote Code Execution Vulnerability (13. 8. 2019) – Windows 7/Windows Server 2008 R2 až Windows 10/Windows Server 2019
- CVE-2019-1182 – (DejaBlue) Remote Desktop Services Remote Code Execution Vulnerability (13. 8. 2019) – Windows 7/Windows Server 2008 R2 až Windows 10/Windows Server 2019
- CVE-2019-1222 – Remote Desktop Services Remote Code Execution Vulnerability (13. 8. 2019) – Windows 10 (1803, 1809, 1903) /Windows Server 2019
- CVE-2019-1223 – Remote Desktop Services Remote Code Execution Vulnerability (13. 8. 2019) – Windows 10 (1803, 1809, 1903) /Windows Server 2019
V tuto chvíli jsou již neveřejně dostupné funkční exploity na první zranitelnost BlueKeep (např. součástí penetračního frameworku „Canvas“, či pro konzultanty „NCC Group Infosec“) i pozdější zranitelnosti DejaBlue (DejaBlue PoC Tencent). Tudíž se nebavíme o tom, jestli exploit vznikne, ale o tom, kdy se dostane do rukou někomu, kdo jej má v plánu zneužít. Pokud se tak již nestalo. Následně bude, dle mne, docházet k následujícím dvěma druhům útoků.
Útok na zařízení dostupná z internetu
Hackeři zaútočí napřímo na zranitelné servery dostupné z internetu.
Počet veřejně dostupných zařízení (veřejně dostupné RDP z internetu), které obsahují chybu BlueKeep, můžeme získat ze služby Shodan. Podle jejich statistik k 19. 8. 2019 to vypadá následovně (poznámka: některá započítaná zařízení mohou být honeypoty):
- USA – 67.403 zranitelných zařízení
- Německo – 8.711 zranitelných zařízení
- Francie – 6.378 zranitelných zařízení
- Polsko – 2.835 zranitelných zařízení
- Rakousko – 1.109 zranitelných zařízení
- Slovenská republika – 576 zranitelných zařízení
- Česká republika – data bohužel nejsou dostupná, ale očekávám číslo o pár desítek procent vyšší než pro Slovensko.
Počty zařízení zranitelných na zranitelnost DejaBlue bohužel zatím neznám. Očekávám však, že jejich číslo bude vyšší, protože:
- zranitelnost je „čerstvější“ (nebylo tolik času na aktualizování systémů),
- zasahuje více verzí Windows.
První hackerská skupina, která tak zaútočí, může vcelku s malou námahou vytvořit botnet o vyšších desítkách tisíc zařízení (cílem může být ransomware, těžba kryptoměn).
Útok z lokální sítě
První varianty útoku se většina lidí nebojí, protože nemají RDP dostupná přímo z internetu. To však neznamená, že se jich chyba netýká. Pokud se útočník dostane dovnitř sítě, bude moci všechna zranitelná zařízení napadnout. Čeho se bojím tedy nejvíce? Že vznikne počítačový červ (viz můj článek „Nejčernější hrozba, které se v IT bezpečnosti bojím“), který se dostane jedním typem útoku dovnitř sítě (např. skrze zavirovanou přílohu v e-mailu) a jakmile bude v síti, začne skrze RDP napadat všechny dostupné počítače.
Pokud se to zkombinuje s vyčítáním a zneužíváním uložených hesel, nebo hesel právě přihlášených uživatelů na napadených počítačích, může se stát, že takový červ položí celou firemní síť během několika minut. Rychlost šíření s časem exponenciálně roste – každý napadený počítač se totiž přidává k útoku a napadá další počítače. Stejně jako se to stalo firmě Maersk, která přišla o více jak 50.000 zařízení během 7 minut.
Přičemž obnovit celou firemní síť trvá řádově dny. Stojí to hodně peněz na lidské práci a ještě více peněz na ušlém zisku a poškozené pověsti firmy. Také je nutné se zamyslet, zda zálohy takovýto útok přežijí – jestli server se zálohami nebude jedním z prolomených serverů (chybějící aktualizace či stejná ověřovací doména).
Závěr
Souhlasím s urgencemi, s jakými se o těchto chybách píše na internetu „US company selling weaponized BlueKeep exploit“, „RDP BlueKeep exploit shows why you really, really need to patch“. I jak o nich píše sám Microsoft „Protect against bluekeep“, „Patch new wormable vulnerabilities in Remote Desktop Services (CVE-2019-1181/1182)“. Doporučuji s aktualizacemi neotálet.
Řešení typu zakázat RDP, či zapnout NLA nejsou dostatečná (tím neříkám, že byste NLA neměli mít zapnuté a RDP vypnuté, pokud jej nepoužíváte), protože:
- Za půl roku se situace/potřeby firmy třeba změní a někdo RDP opět povolí – samozřejmě si již nebude pamatovat, že jste jej zakázali kvůli BlueKeep/DejaBlue zranitelnosti.
- Zapnuté NLA ochrání RDP oproti neznámému útočníkovi, avšak někomu s uživatelskými přístupy k RDP stále umožní eskalovat svá oprávnění na úroveň systému.
Kolegové, děkuji za přečtení, snad vám mé postřehy k bezpečnosti, BlueKeep a DejaBlue byly užitečné. Pokud ano, děkuji za sdílení článku a budu se těšit na vaše názory v komentářích.
Nechť vaše sítě nejsou nikdy prolomeny. ✌🙏
Martin Haller
#zalepšíIT