Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittinen BlueKeep-haavoittuvuus Microsoftin Remote Desktop Service (RDS) -toteutuksessa tietyissä Windowsin versioissa

Haavoittuvuus9/2019

Microsoft on julkaissut tietoturvapäivityksiä Windows 7, Windows Server 2008 ja 2008 R2, Windows 2003 ja Windows XP -käyttöjärjestelmien RDS-toteutuksissa oleviin kriittisiin haavoittuvuuksiin. Haavoittuvuudet mahdollistavat matomaisesti leviävien haittaohjelmien toteuttamisen. Haavoittuvuutta hyväksikäytetään maailmalla.

RDS on aikaisemmin tunnettu nimellä Terminal Service. Nyt löydettyä haavoittuvuutta hyväksikäyttämällä hyökkääjällä on mahdollisuus suorittaa koodia järjestelmässä. Hyökkääjän pitää lähettää tietynlainen haitallinen viesti RDP:llä. Tämän voi tehdä ennen RDP-palvelulle tunnistautumista, eikä haavoittuvuuden hyväksikäyttö vaadi käyttäjältä (uhrilta) toimenpiteitä. Näin ollen kyseessä on haavoittuvuus, jota hyväksikäyttämällä on mahdollista tehdä automaattisesti leviäviä matoja.

Mato on haitallinen tietokoneohjelma, joka on suunniteltu leviämään haavoittuvasta laitteesta toiseen automaattisesti ilman käyttäjien toimenpiteitä.

Lisää tietoa aiheesta löytyy Microsoftin blogista (Ulkoinen linkki)CVE-2019-0708-haavoittuvuustiedotteesta (Ulkoinen linkki) sekä päivitysohjeista (Ulkoinen linkki).

Haavoittuvuutta hyödyntäviä esimerkkikoodeja (PoC) ja hyväksikäyttömenetelmiä on olemassa. Suosittuun tunkeutumistestaustyökalu Metasploitiin julkaistiin 6.9.2019 moduli, jolla hyökkääjä voi suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä. Haavoittuvuutta tiedetään hyväksikäytettävän maailmalla, tästä on raportoinut esimerkiksi Australian Cyber Security Centre (ACSC) (Ulkoinen linkki) 12.8.2019. Lisätietoa esimerkkikoodista löytyy mm. oheisesta artikkelista (Ulkoinen linkki). Metasploit-modulin julkitulo luultavasti lisää haavoittuvuuden hyväksikäyttöyrityksiä.

Suosittelemme haavoittuvien järjestelmien välitöntä päivittämistä tai muita suojauskeinoja. Metasploit-työkalun kehittäjät kehottavat välttämään tietoliikenneyhteyksien automaattista katkaisua, jos hyväksikäyttökoodi havaitaan verkkoliikenteessä, sillä yhteyden odottamaton katkeaminen voi johtaa kohdejärjestelmän kaatumiseen. RDP-yhteydet haavoittuviin järjestelmiin kannattaa estää kokonaan esimerkiksi palomuurisäännöillä.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Sulautetut järjestelmät
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä
  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

Seuraavat Windows -käyttöjärjestelmän versiot ovat haavoittuvia:

  • Windows 7
  • Windows 2003
  • Windows XP
  • Windows Server 2008

CVE-2019-0708 -haavoittuvuutta ei ole uudemmissa Windowsin (kuten 10) tai Windows Serverin versioissa.

Ratkaisu- ja rajoitusmahdollisuudet

  • Korjaava ohjelmistopäivitys. Huomaa, että vanhempiin Windows versioihin (2003 ja XP) päivitystä ei saa automaattisesti WSUS:n kautta, vaan se pitää hakea manuaalisesti Microsotfin Update Catalog -sivuilta ja lisätä tarvittaessa WSUS:ään.
  • Estä palomuureissa Internetistä porttiin 3389 tuleva TCP-liikenne.
  • Poista RDP-palvelu käytöstä, mikäli sitä ei tarvita, kunnes haavoittuva järjestelmä on päivitetty.
  • Laita Network Level Authentication (NLA) päälle, mikäli käyttöjärjestelmä tukee sitä (Windows 7, Windows Server 2008, ja Windows Server 2008 R2). Tällöin hyökkääjän pitää tunnistautua RDS-palvelulle ennen mahdollisuutta hyödyntää haavoittuvuutta.
  • Mikäli laitteille on kuitenkin jostain syystä päästävä RDP:llä, salli yhteydet vain tietyistä IP-osoitteista (esim. VPN-putken läpi) ja/tai käytä sen yhteydessä monivaiheista tunnistautumista (multi-factor authentication, MFA).

Lisätietoja

Lisätty tieto esimerkkikoodista ja viittaus uutiseen aiheesta.

Lisätty tietoa BlueKeepiin olemassa olevista exploiteista ja siitä, että haavoittuvuutta käytetään maailmalla hyväksi.

Lisätty tieto Metasploit-modulista ja suositus välttää hyökkäykseksi tunnistetun liikenteen katkaisemista kesken hyökkäyksen.