ESET CONNECT
Единая точка входа для ресурсов ESET
Войти через социальные сети
Пришло время отключить доступ к RDP из интернета
Хотя уязвимость BlueKeep (CVE-2019-0708) до настоящего времени не вызывала широкомасштабного хаоса, и мы рассмотрим причины, по которым в этом посте она все еще находится на очень ранней стадии жизненного цикла эксплуатации. Факт остается фактом, что многие системы все еще не исправлены, и все еще можно найти полностью исправленную версию эксплойта. Из-за этих факторов ESET создала бесплатную утилиту для проверки уязвимости системы.
https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetblu ekeepchecker.exe
Существует множество серверов, работающих под управлением различных версий серверных операционных систем Microsoft Windows, которые напрямую подключены к Интернету, что практически не обеспечивает безопасности доступа к ним.
RDP, сокращение от «Протокол удаленного рабочего стола», позволяет одному компьютеру подключаться к другому компьютеру по сети, чтобы использовать его удаленно. В домене компьютеры с операционной системой Windows Client, такой как Windows XP или Windows 10, поставляются с предустановленным клиентским программным обеспечением RDP как часть операционной системы, которая позволяет им подключаться к другим компьютерам в сети, включая сервер организации ( с).
Сегодня, обычно к пользователям RDP относятся системные администраторы, выполняющие удаленное администрирование серверов, а также удаленные работники, которые могут подключаться к виртуализированным настольным компьютерам внутри домена своей организации.
За последние несколько лет в ESET наблюдают рост числа случаев, когда злоумышленники подключались к Интернету с помощью RDP удаленно к Windows Server через Интернет и входили в систему как администратор компьютера. После того, как злоумышленники войдут на сервер как администратор. Далее, они выполняют различные действия:
| Цитата |
|---|
| очистка лог-файлов, содержащих доказательства их присутствия в системе; отключение запланированных резервных копий и теневых копий; отключение защитного программного обеспечения или настройка исключений в нем (что разрешено администраторам); загрузка и установка различных программ на сервер; стирание или перезапись старых резервных копий, если они доступны; эксфильтрация данных с сервера; установка программ добычи монет для генерации криптовалюты, таких как Monero; установка Ransomware с целью вымогательства денег у организации, которые часто выплачиваются с использованием криптовалюты, такой как биткойны. |
Уязвимость BlueKeep позволяет злоумышленникам запускать произвольный программный код на компьютерах своих жертв. Поскольку они могут использовать автоматизированные инструменты для атак, эта атака может распространяться автоматически по сетям без какого-либо вмешательства пользователей, как Win32 / Diskcoder.C ( ака NotPetya) и Conficker в прошлом.
В начале сентября Rapid7, разработчик инструмента пентестинга Metasploit, объявил о выпуске эксплойта BlueKeep. Несмотря на то, что в течение следующих нескольких месяцев не было зарегистрировано заметного увеличения активности BlueKeep, в последнее время ситуация изменилась. В начале ноября, как отмечают ZDNet и WIRED, стали доступны массовые сообщения об эксплуатации BlueKeep. По сообщениям, атаки были менее чем успешными: около 91% уязвимых компьютеров вылетали с ошибкой остановки (так называемая проверка ошибок или синий экран смерти), когда злоумышленник пытается использовать уязвимость BlueKeep. Однако на оставшихся 9% уязвимых компьютеров эти злоумышленники успешно установили программное обеспечение для криптомайнинга Monero.
Защита от злоумышленников, атакующих RDP
Итак, учитывая все это, что вы можете сделать? Ну, во-первых, очевидно, чтобы прекратить подключение напрямую к вашим серверам через Интернет с помощью RDP. Поддержка Windows Server 2008 и Windows 7 заканчивается в январе 2020 года, наличие компьютеров под управлением этих компьютеров и их прямой доступ через RDP через Интернет представляет собой риск для вашего бизнеса, который вы уже должны планировать снизить.
Это не означает, что вам необходимо немедленно прекратить использование RDP, но вам необходимо предпринять дополнительные шаги, чтобы обезопасить его как можно скорее и как можно быстрее. С этой целью мы создали таблицу с десятью основными шагами, которые вы можете предпринять, чтобы начать защищать свои компьютеры от атак на основе RDP.
| Цитата |
|---|
| 1. Запретить внешние подключения к локальным компьютерам через порт 3389 (TCP / UDP) на межсетевом экране периметра. * Блокирует доступ к RDP из Интернета. (* По умолчанию RDP работает на порте 3389. Если вы изменили этот порт на другое значение, то этот порт должен быть заблокирован.) 2. Протестируйте и разверните исправления для уязвимости CVE-2019-0708 (BlueKeep) и включите аутентификацию на уровне сети (NLA) как можно быстрее. Установка исправления Microsoft и следование их предписывающим рекомендациям помогает обеспечить защиту устройств от уязвимости BlueKeep. 3. Для всех учетных записей, в которые можно войти через RDP, требуются сложные пароли (обязательна длинная парольная фраза, содержащая более 15 символов). Защищает от взлома паролей и взлома учетных данных. 4. Установите двухфакторную аутентификацию (2FA) и, как минимум, требуйте ее для всех учетных записей, в которые можно войти через RDP. Требуется второй уровень аутентификации, доступный сотрудникам только через мобильный телефон, токен или другой механизм для входа в компьютеры. 5. Установите шлюз виртуальной частной сети (VPN), чтобы обеспечить безопасность во всех RDP-подключениях вне локальной сети. Предотвращает RDP-соединения между интернетом и вашей локальной сетью. 6. Защитите программное обеспечение для защиты конечных точек паролем, используя надежный пароль, не связанный с учетными записями администраторов и служб. 7. Включите блокировку эксплойтов в программном обеспечении безопасности конечных точек. Убедитесь, что эта функция включена. 8. Изолируйте любой небезопасный компьютер, к которому требуется доступ из Интернета, используя RDP. 9. Заменить небезопасные компьютеры. Если компьютер не может быть исправлен с помощью уязвимости BlueKeep, запланируйте его своевременную замену. 10. Рассмотрите возможность блокировки geoIP на шлюзе VPN. Если сотрудники и поставщики находятся в одной и той же стране или в небольшом списке стран, рассмотрите возможность блокировки доступа из других стран, чтобы предотвратить соединения со стороны иностранных злоумышленников. |
Использование средства проверки уязвимости ESET BlueKeep (CVE-2019-0708)
ESET выпустила бесплатный инструмент BlueKeep (CVE-2019-0708), чтобы проверить, уязвим ли компьютер под управлением Windows. На момент публикации инструмент можно загрузить с:
Program ESET BlueKeep (CVE-2019-0708) vulnerability checker
Version 1.0.0.1
Location https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetblu ekeepchecker.exe
SHA-1 hash C0E66EA2659D2EA172950572FDB5DE881D3882D8
При запуске программа сообщит, уязвима ли система для эксплуатации BlueKeep или нет. В случае уязвимости системы инструмент переместит пользователя на веб-страницу, чтобы загрузить соответствующий патч на веб-сайте Microsoft.
MS15-067: Уязвимость протокола удаленного рабочего СТОЛА делает возможным удаленное выполнение кода: 14 июля 2015 г.
Обзор
Это обновление для системы безопасности устраняет уязвимость в Windows, которая делает возможным удаленное выполнение кода, если злоумышленник отправляет специально созданный последовательность пакетов в целевой системе с включена служба сервера протокола удаленного рабочего стола (RDP). По умолчанию служба сервера RDP не включена в любой операционной системе Windows. Системы, не имеющие включена служба сервера RDP не подвержены. Дополнительные сведения о данной уязвимости см. бюллетень корпорации Майкрософт по безопасности MS15-067.
Дополнительные сведения
Все изменения фокусировки Windows 8.1 и Windows Server 2012 R2 и безопасности требуют обновления 2919355 для установки. Корпорация Майкрософт рекомендует установить обновление 2919355 на компьютере под управлением Windows 8.1 или Windows Server 2012 R2, чтобы получать обновления.
При установке языкового пакета после установки этого обновления, необходимо переустановить это обновление. Таким образом, рекомендуется установить все языковые пакеты, которые вам нужны, прежде чем установить данное обновление. Дополнительные сведения содержатся в статье Установка языковых пакетов для Windows.
Дополнительные сведения об этом обновлении безопасности
Следующие статьи содержат дополнительные сведения об этом обновлении для системы безопасности по отношению к версии конкретного продукта. В них могут быть сведения об известных проблемах.
3069762 MS15-067: Описание обновления безопасности для протокола удаленного рабочего СТОЛА Windows: 14 июля 2015 г.
3067904 MS15-067: Описание обновления безопасности для протокола удаленного рабочего СТОЛА Windows: 14 июля 2015 г.
Как получить и установить обновление
Метод 1. Центр обновления Windows
Это обновление доступно через Центр обновления Windows. При включении автоматического обновления, обновления будут загружаться и устанавливаться автоматически. Дополнительные сведения о том, как включить автоматическое обновление см.
Автоматическое получение обновлений безопасности.
Можно получить автономный пакет обновления в центре загрузки Майкрософт. На странице скачивания для установки обновления следуйте инструкциям по установке.
Windows 7 (все выпуски)
Справочная таблица
Следующая таблица содержит сведения об обновлении безопасности для данного программного обеспечения.
Имя файла обновления безопасности
Для всех поддерживаемых 32-разрядных выпусков Windows 7:
Windows6.1-KB3067904-x86.msu
Для всех поддерживаемых 32-разрядных выпусков Windows 7:
Windows6.1-KB3069762-x86.msu
Для всех поддерживаемых 64-разрядных выпусках Windows 7:
Windows6.1-KB3067904-x64.msu
Для всех поддерживаемых 64-разрядных выпусках Windows 7:
Windows6.1-KB3069762-x64.msu
В некоторых случаях данное обновление не требует перезагрузки компьютера. Если требуемые файлы используются другими приложениями, данное обновление может потребовать перезагрузки. Если это происходит, появляется сообщение.
Чтобы уменьшить вероятность необходимой перезагрузки, остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы перед инсталляцией обновления безопасности. Дополнительные сведения о причинах, почему вам может быть предложено перезагрузить со статьей 887012 базы знаний Майкрософтсм.
Сведения об удалении
Чтобы удалить обновление, установленное программой WUSA, воспользуйтесь параметром установки/Uninstall или выберите команду Панель управления, щелкните Система и безопасность, в разделе Центр обновления Windows щелкните пункт Просмотр установленных обновлений и выберите из списка обновлений.
Проверка разделов реестра.
Примечание. Раздел реестра для проверки наличия данного обновления не существует.
Windows 8 (все выпуски)
Справочная таблица
Следующая таблица содержит сведения об обновлении безопасности для данного программного обеспечения.
Имя файла обновления безопасности
Для всех поддерживаемых 32-разрядных выпусков Windows 8:
Windows8-RT-KB3067904-x86.msu
Для всех поддерживаемых выпусков Windows 8 для 64-разрядных систем:
Windows8-RT-KB3067904-x64.msu
В некоторых случаях данное обновление не требует перезагрузки компьютера. Если требуемые файлы используются другими приложениями, данное обновление может потребовать перезагрузки. Если это происходит, появляется сообщение.
Чтобы уменьшить вероятность необходимой перезагрузки, остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы перед инсталляцией обновления безопасности. Дополнительные сведения о причинах, почему вам может быть предложено перезагрузить со статьей 887012 базы знаний Майкрософтсм.
Сведения об удалении
Чтобы удалить обновление, установленное с помощью этой программы, используйте установки/Uninstall переключения или нажмите кнопку Панель управления, щелкните Система и безопасность, Центр обновления Windows, а затем в разделе см. также, щелкните Установленные обновления и выберите из списка обновлений.
Проверка разделов реестра.
Примечание. Раздел реестра для проверки наличия данного обновления не существует.
Windows Server 2012 (все выпуски)
Справочная таблица
Следующая таблица содержит сведения об обновлении безопасности для данного программного обеспечения.
Имя файла обновления безопасности
Для всех поддерживаемых выпусков Windows Server 2012:
Windows8-RT-KB3067904-x64.msu
В некоторых случаях данное обновление не требует перезагрузки компьютера. Если требуемые файлы используются другими приложениями, данное обновление может потребовать перезагрузки. Если это происходит, появляется сообщение.
Чтобы уменьшить вероятность необходимой перезагрузки, остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы перед инсталляцией обновления безопасности. Дополнительные сведения о причинах, почему вам может быть предложено перезагрузить со статьей 887012 базы знаний Майкрософтсм.
Сведения об удалении
Чтобы удалить обновление, установленное с помощью этой программы, используйте установки/Uninstall переключения или нажмите кнопку Панель управления, щелкните Система и безопасность, Центр обновления Windows, а затем в разделе см. также, щелкните Установленные обновления и выберите из списка обновлений.
Проверка разделов реестра.
Примечание. Раздел реестра для проверки наличия данного обновления не существует.
Удаленное выполнение произвольного кода в протоколе RDP
Стало известно об опасной уязвимости в протоколе RDP: корпорация Microsoft подготовила экстренный патч для уязвимости с идентификатором CVE-2019-0708, позволяющей выполнить произвольный код на целевой системе.
Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов (ранее они назывались службами терминалов), когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Эта уязвимость использует предаутентификацию и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может выполнить произвольный код в целевой системе.
The vulnerability (CVE-2019-0708) resides in the “remote desktop services” component built into supported versions of Windows, including Windows 7, Windows Server 2008 R2, and Windows Server 2008. It also is present in computers powered by Windows XP and Windows 2003, operating systems for which Microsoft long ago stopped shipping security updates.
Чтобы воспользоваться уязвимостью, злоумышленнику необходимо отправить специально созданный запрос службе удаленных рабочих столов целевых систем через RDP.
Интересным является тот факт, что эту или схожую уязвимость продавали в «даркнете» как минимум с сентября прошлого года:
description:
This is a bug in RDP protocol.
That means you may exploit any Windows remotely who enables RDP.
vulnerability type:
Heap overflow
affected versions:
Windows 2000/XP/2003/Vista/7/2008(R2)
privilege level obtained:
SYSTEM privilege
reliability:
90% for one core / 30% for multiple core
exploitation length:
around 10 seconds
Possible buyer, [30.09.18 12:58]
affected versions:
Windows 2000/XP/2003/Vista/7/2008(R2)
LOL
Possible buyer, [30.09.18 12:58]
is it pre-auth or post-auth vuln?
SELLER, [30.09.18 12:59]
Pre
Possible buyer, [30.09.18 12:59]
for how much they/he/she sells it?
SELLER, [30.09.18 12:59]
500
SELLER, [30.09.18 12:59]
Shared
Possible buyer, [30.09.18 12:59]
500k USD?
SELLER, [30.09.18 13:00]
So u can guess it was sold few times
This vulnerability is pre-authentication and requires no user interaction. In other words, the vulnerability is ‘wormable’, meaning that any future malware that exploits this vulnerability could propagate from vulnerable computer to vulnerable computer in a similar way as the WannaCry malware spread across the globe in 2017.
RDP: слабые места протокола и эксперимент с развертыванием ханипота
RDP — один из самых популярных протоколов для удаленного подключения к машинам Windows. Но при неправильной конфигурации он может стать ахиллесовой пятой любой инфраструктуры.
Когда бизнес переходил на удаленку, выбор компаний пал на протокол RDP из-за простоты его настройки и использования. Но переход был экстренным и далеко не все уделили необходимое внимание безопасности. В результате организации оказались под прицелом злоумышленников.
В этой статье мы решили разобрать слабые места протокола RDP и рассказать, как обезопасить инфраструктуру компании. Также мы провели эксперимент, развернув ханипот RDP на нескольких серверах, и описали криминалистические артефакты, которые могут быть обнаружены в случае несанкционированного подключения злоумышленников.
▍Слабости RDP
Почти 4 миллиона RDP-серверов по всему миру сегодня доступны из внешней сети. Не меньшее их количество, скорее всего, доступно лишь из внутренних сетей.
Злоумышленники часто специально ищут слабые места RDP-серверов, чтобы использовать их в своих целях. Так, RDP нередко подвергается брутфорс-атакам. Кроме того, за последние два года специалисты обнаружили серьезные RCE-уязвимости, связанные с RDP.
Брутфорс-атаки
Самые распространенные атаки на RDP — атаки типа брутфорс. Их можно условно разделить на несколько групп.
Простейшим атакам и атакам с использованием словарей организации обычно уделяют должное внимание и защищаются от них. Например, часто предусматривают блокировку учетной записи после нескольких безуспешных попыток входа.
В то же время про атаки password spraying и credential stuffing зачастую забывают. Однако подобные атаки сейчас не редкость, а, напротив, скорее стали обыденностью. Бороться с ними помогает блокировка IP-адресов, с которых производятся множественные неудачные попытки входа по RDP. Также не станет лишним запрет на повторное использование паролей. Кроме того, не стоит использовать один и тот же пароль на нескольких ресурсах.
Уязвимости
С 2019 года было обнаружено несколько серьезных RCE-уязвимостей, связанных с RDP. Их эксплуатация приводит к удаленному исполнению кода на целевой системе.
Уязвимость CVE-2019-0708, получившую название BlueKeep, обнаружили не в самом протоколе RDP, а в реализации службы удаленных рабочих столов (Remote Desktop Service). Данная уязвимость позволяет неаутентифицированному пользователю удаленно исполнить произвольный код на целевой системе. Уязвимости подвержены старые версии Windows: начиная с Windows XP (Windows Server 2003) и заканчивая Windows 7 (Windows Server 2008 R2). Для ее успешной эксплуатации необходимы лишь сетевой доступ к компьютеру с уязвимой версией Windows и запущенная служба RDP. Для этого злоумышленник отправляет специально сформированный запрос к службе по RDP, что позволяет атакующему удаленно выполнить произвольный код на целевой системе. Информация о BlueKeep была опубликована в мае 2019 года, но уязвимыми до сих пор остаются более 289 тысяч RDP-серверов.
Уязвимости CVE-2019-1181/1182/1222/1226 практически аналогичны BlueKeep. Однако если предыдущей уязвимости были подвержены лишь старые версии Windows, то теперь под угрозой оказались и все новые версии ОС. Для эксплуатации уязвимостей злоумышленнику также достаточно отправить специально сформированный запрос к службе удаленных рабочих столов целевых систем, используя протокол RDP, что позволит выполнить произвольный код. Эти уязвимости были опубликованы в августе 2019 года.
Еще одна уязвимость — BlueGate (CVE-2020-0609/0610) — была найдена в компоненте Windows Remote Desktop Gateway в Windows Server (2012, 2012 R2, 2016 и 2019). Она также позволяет злоумышленникам посредством RDP и специально созданных запросов осуществлять удаленное выполнение кода на целевой системе. BlueGate была опубликована в начале 2020 года.
▍Вредоносные программы и RDP
Слабости RDP не остаются вне поля зрения операторов вредоносных программ. Злоумышленники нередко используют ставшие известными учетные данные RDP при проведении целевых атак.
После получения доступа по RDP к целевой системе атакующие вручную отключают средства антивирусной защиты и запускают вредоносные программы. В подобных атаках на зараженной системе зачастую запускаются программы-вымогатели, такие как Dharma (aka Crysis).
▍Приманка для злоумышленников, или как мы развернули ханипот
Мы решили провести эксперимент и проверить, что будет происходить с RDP-сервером, доступным из внешней сети. Для этого было развернуто два ханипота. Мы воспользовались реализацией протокола RDP на Python — RDPY, который можно найти в открытом доступе.
Один ханипот был развернут на публичном сервере DigitalOcean, другой — на сервере в сети нашей организации. Из интернета были доступны три порта:
Максимальное внимание в сети привлек стандартный порт 3389. За те полтора месяца, что работали ханипоты, в общей сложности зафиксировано 15 попыток брутфорса и 237 попыток записи невалидных данных в сокет на публичном сервере; и, соответственно, 16 и 135 попыток — на сервере в сети организации.
Также, как и следовало ожидать, стандартный порт 3389 подвергался многочисленным сканированиям из сети. При этом публичный сервер сканировался в среднем в 2,5 раза чаще, чем сервер в сети организации.
Частоту сканирований можно увидеть на графике ниже. Вертикальными линиями здесь обозначены субботы и воскресенья, которые пришлись на период работы ханипотов. В большинстве случаев на конец рабочей недели приходился спад сканирований из сети.
Попыток просканировать нестандартные порты практически не было. Следовательно, перенос RDP на нестандартный порт поможет частично защититься от большей части атак.
▍Безопасность
Обобщая все вышесказанное, можно вывести несколько правил, которые помогут обезопасить инфраструктуру при удаленном подключении по RDP.
▏Где искать следы подключения по RDP▕
Если у вас возникли подозрения о компрометации системы по RDP, можно попробовать самостоятельно выполнить несколько шагов.
События 21, 22 и 25 — для успешного входа или переподключения, 23 — для отключения. Следует искать события с необычных IP-адресов.
Даже если подключения разрешены исключительно со внутренних IP-адресов, все еще имеет смысл периодически проверять описанные выше логи на предмет внезапного подключения из внешней сети. Это позволит своевременно найти ошибки конфигурации, допущенные администраторами по невнимательности (например, при настройке форвардинга портов и пр.).
Если следы обнаружены
В случае обнаружения следов успешного проникновения через RDP необходимо в первую очередь:
Пришло время отключить RDP от Интернета
Хотя уязвимость BlueKeep (CVE-2019-0708) до настоящего времени не вызвала широкомасштабного хаоса, и мы рассмотрим причины этого в данном посте, она все еще находится на очень ранней стадии жизненного цикла ее использования. Факт остается фактом, что многие системы все еще не исправлены, и все еще можно найти версию эксплойта, обладающую всем потенциалом червя. С учетом этих факторов компания ESET создала бесплатную утилиту для проверки уязвимости системы.
Иногда необходимо что-то сказать о вещах, которые считаются «само собой разумеющимися», и кажется, что лучший способ начать этот пост – сказать именно это, потому что это не тот предмет, о котором мне следовало бы писать в наши дни. Поэтому, прежде чем углубиться дальше, давайте начнем с рассмотрения старой максимы.
В области информационной безопасности существует старая поговорка: если у злоумышленника есть физический доступ к вашему компьютеру, то этот компьютер больше не ваш. Объясняется это довольно просто: как только злоумышленники доберутся до компьютера, они смогут изменить в нем все, что захотят. Установка таких устройств, как аппаратных клавиатурных шпионов (кейлоггеров), извлечение дисков и их копирование, а также удаление, изменение или добавление в систему всего, чего угодно, значительно упрощается, когда к компьютеру можно подойти непосредственно. Такой поворот событий не должен нас особенно удивлять или озадачивать. Это просто имеет место. Что касается злоумышленников, это всего лишь часть описания их работы.
Следует иметь в виду, что предприятия и учебные заведения, а также самые разные организации не закрывают глаза на эту проблему. Ни одна из этих организаций не размещает свои серверы на стойке регистрации в вестибюле, в приемной, в центре для посетителей, в комнате ожидания или в других местах, куда публика или, возможно, любой сотрудник, преподаватель, студент или работник может зайти и получить физический доступ к ним. Или, по крайней мере, ни одна компания, которая желает оставаться в бизнесе, не допускает этого. Поэтому серверы, как правило, изолируются – либо помещаются в отдельную комнату, либо даже убираются в какой-нибудь дальний угол, недоступный для большей части персонала.
Тем не менее, несмотря на все эти общеизвестные знания, накопленный опыт в области безопасности в физическом мире не всегда хорошо (или правильно) переносятся в мир Интернета. Огромное количество серверов, работающих под управлением различных версий серверных операционных систем Microsoft Windows, напрямую подключены к Интернету, что почти или практически не обеспечивает безопасности при доступе к ним. И это подводит нас к обсуждению RDP.
Что такое RDP?
RDP (аббревиатура английского термина «Протокол удаленного рабочего стола») позволяет одному компьютеру подключаться к другому компьютеру по сети и использовать последний удаленно. В домене компьютеры с операционной системой Windows Client, такой как Windows XP или Windows 10, поставляются с предустановленным клиентским программным обеспечением RDP как частью операционной системы, что позволяет им подключаться к другим компьютерам в сети, включая сервер(-ы) организации. Соединение с сервером в этом случае означает, что он может быть напрямую подключен к операционной системе сервера или к операционной системе, работающей внутри виртуальной машины на этом сервере. Благодаря этому соединению человек может открывать каталоги, загружать и выгружать файлы, а также запускать программы, как если бы они использовали клавиатуру и монитор, подключенные к этому серверу.
RDP был изобретен компанией Citrix в 1995 году и продавался как часть расширенной версии Windows NT 3.51 под названием WinFrame. В 1998 году компания Microsoft добавила RDP в Windows NT 4.0 Terminal Server Edition. С тех пор этот протокол входит в состав всех версий линейки операционных систем Microsoft Windows компании Microsoft и после выпуска Windows XP в 2001 году включается во все версии операционных систем Windows Client, кроме версий для пользователей домашних компьютеров. Сегодня обычными пользователями RDP являются системные администраторы, выполняющие удаленное администрирование серверов из своих кабинетов без необходимости заходить в серверную комнату, а также удаленные работники, которые могут подключаться к виртуализированным настольным компьютерам внутри домена своей организации.
Что злоумышленники делают с RDP?
В течение последних нескольких лет ESET фиксирует рост числа случаев, когда злоумышленники через Интернет, используя RDP, удаленно подключаются к Windows Server и входят в систему как администратор компьютера. После того как злоумышленники входят на сервер как администратор, они, как правило, проводят разведку, чтобы определить, для чего сервер используется, кем и когда.
Как только злоумышленники поймут, какой сервер они контролируют, они могут начать выполнять злонамеренные действия. К широко распространенным вредоносным действиям, которые мы фиксируем, относятся:
Это не полный список всех действий, которые может выполнить злоумышленник, и при этом злоумышленник не обязательно выполнит все эти действия. Злоумышленники могут подключаться несколько раз в течение дня или только один раз, если у них есть заранее намеченный план. Хотя точный характер действий злоумышленников сильно различается, вот два наиболее распространенных:
В некоторых случаях злоумышленники могут установить дополнительное программное обеспечение удаленного управления для обеспечения доступа (сохраняемости) к взломанному серверу в случае обнаружения и прекращения их работы через RDP.
Мы не зафиксировали ни одного сервера, который был взломан одновременно и для вымогательства с помощью программ-вымогателей, и для майнинга криптовалюты, однако мы фиксировали случаи, когда сервер был взломан одним злоумышленником для майнинга криптовалюты, а затем взломан другими злоумышленниками, которые изменили инструмент для майнинга монет таким образом, чтобы доходы шли к ним. Похоже, благородством среда воров не отличается.
Известность атак с использованием RDP достигла такой степени, что даже мошенники, специализирующиеся на «сексуальном вымогательстве», включают упоминание об этом средстве в свои записки с требованием выкупа, пытаясь придать своей афере более правдоподобный вид.
Рисунок 1: Сообщение электронной почты аферы «сексуального вымогательства», упоминающей RDP
Для получения дополнительной информации об этих видах мошенничества с электронной почтой я рекомендую серию статей моего коллеги Брюса П. Баррелла: Часть I, Часть II и Часть III.
Массовые атаки с использованием RDP
Количество атак, совершаемых с помощью RDP, медленно, но неуклонно увеличивается, и эта проблема стала темой ряда информационных сообщений, выпущенных государственными учреждениями, например: ФБР, Национальным центром кибербезопасности (NCSC) (Великобритания), Канадским центром кибербезопасности (CCCS) и Австралийским центром кибербезопасности (ACSC).
Шлюзы открылись в мае 2019 года с появлением CVE-2019-0708, или «BlueKeep» – уязвимости безопасности в RDP, затрагивающей Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2. Windows 8 и более поздние версии для настольных компьютеров, Windows Server 2012 и более поздние версии для серверов не затрагиваются.
Уязвимость BlueKeep позволяет злоумышленникам запускать произвольный программный код на компьютерах своих жертв. И хотя масштабную угрозу могут представлять даже одиночные злоумышленники, поскольку они могут использовать для атак автоматизированные инструменты, эта уязвимость имеет потенциал червя, что означает, что атака может распространяться автоматически по сетям без какого-либо вмешательства со стороны пользователей, так же как это в прошлом происходило с червями Win32/Diskcoder.C (или NotPetya) и Conficker.
Эксплуатация уязвимостей с потенциалом червя считается весьма серьезной проблемой. В своем опубликованном руководстве для клиентов компания Microsoft присвоила этой уязвимости самый высокий, «критический», уровень серьезности, а в Национальной базе данных уязвимостей США описание CVE-2019-0708 имеет оценку 9,8 из 10. В своем блоге Microsoft опубликовала пост, настоятельно рекомендовав пользователям устанавливать ее исправления, в том числе для уже не поддерживаемых операционных систем, таких как Windows XP и Windows Server 2003. Опасения по поводу эксплойта с потенциалом червя были настолько сильны, что в начале июня Агентство национальной безопасности США выпустило редкое информационное сообщение, рекомендовав для исправления этой ошибки устанавливать исправления Microsoft.
В начале сентября Rapid7, разработчик инструмента пентестинга Metasploit, объявил о выпуске эксплойта BlueKeep. Несмотря на то, что в течение следующих нескольких месяцев не было зарегистрировано значительных всплесков активности BlueKeep, в последнее время ситуация изменилась. В начале ноября, ZDNet и WIRED в числе других новостных СМИ, обратили внимание на массовые сообщения об активности BlueKeep. По сообщениям, атаки оказались не очень успешными: когда злоумышленники пытались использовать уязвимость BlueKeep, около 91% уязвимых компьютеров вышли из строя со STOP-ошибкой (т. н. проверкой ошибок или ошибкой «синий экран»). Однако на оставшихся 9% уязвимых компьютеров злоумышленникам удалось успешно установить программное обеспечение для криптомайнинга Monero. И хотя это нельзя назвать грозной атакой с потенциалом червя, преступной группе, похоже, таки удалось автоматизировать использование уязвимости, пусть пока и без большого успеха.
Когда я начал писать этот пост в блоге, я не собирался подробно описывать эту уязвимость и не собирался сообщать историю развития ее использования: моей целью было дать читателям понимание того, что необходимо сделать, чтобы защитить себя от этой угрозы. Итак, давайте посмотрим, что нужно сделать.
Защита от злоумышленников, использующих RDP
Итак, учитывая все вышесказанное, что вы можете сделать? Ну, первый шаг очевиден – это прекратить подключаться напрямую к своим серверам через Интернет, используя RDP. Для некоторых компаний это может оказаться проблематичным, поскольку для использования этой функции у них могут быть свои, и вероятно, обоснованные причины. Однако, поскольку в январе 2020 года Windows прекращает поддерживать Server 2008 и Windows 7, наличие компьютеров под управлением этих операционных систем и прямой доступ к ним через Интернет с использованием RDP, представляет риск для вашей компании, снижение которого вам уже давно следовало бы запланировать.
Это не означает, что вам необходимо немедленно прекратить использование RDP, но вам необходимо предпринять дополнительные шаги, чтобы обезопасить это использование как можно скорее. С этой целью мы создали таблицу с десятью основными шагами, которые вы можете предпринять, чтобы начать защищать свои компьютеры от атак с использованием RDP.
* По умолчанию RDP работает на порте 3389. Если вы изменили этот порт на другое значение, то этот порт следует заблокировать.
Эта таблица в общих чертах основана на важности шагов и простоте их реализации, но они могут варьироваться в зависимости от вашей организации. Некоторые из них могут быть неприменимы к вашей организации, или, возможно, их более практично делать в другом порядке, или вашей организации может потребоваться сделать дополнительные шаги.
Вы должны убедиться, что ваше программное обеспечение безопасности рабочих станций обнаруживает уязвимость BlueKeep. BlueKeep определяется как RDP/Exploit.CVE-2019-0708 модулем Network Attack Protection компании ESET, которая является расширением технологии брандмауэра ESET, представленной в ESET Internet Security и ESET Smart Security Premium для потребителей, и программ ESET для защиты рабочих станций для компаний.
Рисунок 2: Объяснение технологии защиты от вредоносных программ ESET: защита от сетевых атак
При этом следует отметить, что существуют сценарии, в которых обнаружение может и не произойти, например, когда эксплойт приводит к аварийному завершению работы системы вследствие ее ненадежности. Для того чтобы быть более эффективным, он должен быть связан с другим эксплойтом, который использует уязвимость раскрытия информации, обнаруживающую адреса памяти ядра, так что пропадает необходимость их угадывания. Это может уменьшить количество аварийных завершений, ибо текущему эксплойту приходится выполнять большой объем динамического выделения памяти.
Если вы используете программное обеспечение безопасности от другого поставщика, узнайте у него, обнаружен ли ими BlueKeep, и каким образом.
Помните, что эти шаги представляют собой только начало того, что можно сделать для защиты от атак RDP. Хотя обнаружение атак является хорошим началом, оно не заменяет исправления или замену уязвимых компьютеров. Ваши сотрудники по информационной безопасности и надежные партнеры в области безопасности могут дать вам дополнительные рекомендации, относящиеся к вашей среде.
Использование средства проверки уязвимости ESET BlueKeep (CVE-2019-0708)
Компания ESET выпустила бесплатный инструмент BlueKeep (CVE-2019-0708) для проверки уязвимости компьютера под управлением Windows. На момент публикации инструмент можно загрузить здесь:
| Программа | Проверщик уязвимости BlueKeep (CVE-2019-0708) ESET |
| Версия | 1.0.0.1 |
| Месторасположение | https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetbluekeepchecker.exe |
| Хеш SHA-1 | C0E66EA2659D2EA172950572FDB5DE881D3882D8 |
Эта программа была протестирована на 32- и 64-разрядных версиях Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2 до и после применения обновлений Microsoft для BlueKeep. Чтобы использовать программу, запустите исполняемый файл. Для использования с исходной версией нет никаких аргументов командной строки.
После запуска программа сообщит, уязвима ли система перед использованием уязвимости, исправлена ли система от использования уязвимости, и защищена ли система от использования уязвимости BlueKeep. В случае уязвимости системы инструмент отправит пользователя на веб-страницу, чтобы загрузить соответствующее исправление на веб-сайте компании Microsoft.
Хотя это универсальное средство, предназначенное для личного использования и не предназначенное для массового использования в автоматизированной среде, оно имеет ограниченное количество сообщений об ошибках. Для сценариев инструмент возвращает значение ERRORLEVEL, равное нулю, если система защищена, и единицу, если она уязвима или произошла ошибка.
Рисунок 3: Пример запуска инструмента в неисправленной системе Windows 7
Рисунок 4: Пример запуска инструмента в исправленной системе Windows 7
Рисунок 5: Пример запуска инструмента в неуязвимой системе Windows 10
Заключительные соображения и дополнительное чтение
И хотя использование уязвимости BlueKeep может так никогда и не стать эпидемией, ее включение в инструменты для тестирования означает, что она станет постоянной частью внутренних тестов безопасности. Итак, реальное решение для предотвращения использования уязвимости BlueKeep – это удаление уязвимых устройств из сети вашей компании.
Однако сделать это не всегда возможно из-за того, что уязвимое устройство играет в компании важную роль, из-за высокой стоимости или по другим причинам. Мы давно выступаем за использование многоуровневого подхода к безопасности, и защита от BlueKeep не является исключением. Фактически, некоторые из описанных выше шагов, например, установка приложения 2FA, такого как ESET Secure Authentication, могут помочь защитить ваши сети от вторжений, а также от других угроз.
Дополнительную информацию об RDP и BlueKeep можно найти на следующих ресурсах:
Особая благодарность за помощь при написании этой статьи моим коллегам Алексису Дорайс-Йонкасу, Брюсу П. Барреллу, Нику Фитцджеральду, Матушу П., Питеру Р., Петру Станчику, Штефану С. и другим коллегам из ESET.