Kritisk sårbarhet i Microsoft Remote Service (RDS) i vissa Windows-versioner
Sårbarhet9/2019
Microsoft har släppt ut säkerhetsuppdateringar för kritiska sårbarheter i RDS-tjänsten i operativsystem som inte längre har support. De är Windows 7, Windows Server 2008 och 2008 R2, Windows 2003 och Windows XP. Sårbarheterna möjliggör exekvering av skadlig kod som sprider sig i form av internetmaskar.
RDS var tidigare känd som Terminal Service. En angripare kan utnyttja sårbarheten genom att exekvera godtycklig kod i systemet efter att ha skickat en speciellt utformad begäran till RDP. Detta är möjligt före inloggning på RDP-tjänsten och angriparen kan utnyttja sårbarheten utan användarens (offrets) medverkan. Genom att utnyttja sårbarheten går det att automatisera spridandet av maskar.
Mask är ett skadligt datorprogram som sprider sig från en sårbar apparat till en annan utan åtgärder av användaren.
Mer information om ämnet finns i Microsofts blogg (Extern länk), i sårbarhetsmeddelandet CVE-2019-0708 (Extern länk) samt i uppdateringsanvisningar (Extern länk).
Det finns exempelkod som utnyttjar sårbarheten. En modul har publicerats i populär intrångstestverktyg Metasploit den 6.9.2019. Med modulen kan en angripare exekvera egen programmkod i en objektsystem. Sårbarheten har utnyttjats i världen. Till exempel Australian Cyber Security Centre (ACSC) (Extern länk) har reporterat om det den 12.8.2019. Mera information om exempelkod kan läsas till exempel i Bleeping computer's artikel (Extern länk). Publicering av Metasploit modulen troligen ökar försökningar att utnyttja sårbarheten.
Vi rekommenderar att omedelbart uppdatera sårbara systemer eller att genomföra andra skyddmetoder. Metasploits utvecklare rekommenderar att undvika automatisk avbrytning av datatrafik om kod som utnyttjar sårbarheten observeras i trafiken, eftersom det kan krascha objektsystemet. Det är bättre att förhindra RDP förbindelser till sårbara system med hjälp av en brandvägg.
Målet
- Arbetsstationer och slutanvändarapplikationer
- Inbyggda system
- Servrar och serverapplikationer
Attackmetoden
- På distans
- Utan användarens medverkan
- Utan inloggning
Inverkan
- Exekvering av godtyckliga kommandon
- Att förbigå säkerheten
- Modifiering av uppgifter
- Anskaffning av konfidentiell information
Utnyttjandet
- För kriminell användning
- Exempelkod som åskådliggör sårbarheten
Åtgärdandet
- Korrigerande programuppdatering
- Problembegränsning
Föremål for sårbarhet
Följande versioner av Windows-operativsystemet är sårbara:
- Windows 7
- Windows 2003
- Windows XP
- Windows Server 2008
Sårbarheten CVE-2019-0708 finns inte i nyare versioner av Windows (t.ex. 10) eller Windows Server.
Vad handlar det om?
- Korrigerande programuppdatering. Beakta att det inte är möjligt att få en automatisk uppdatering till äldre versioner av Windows (2003 och XP) via WSUS utan man ska hämta uppdateringen manuellt från Microsoft Update Catalog och vid behov lägga till den i WSUS.
- Slå av RDP-tjänsterna om de inte behövs.
- Använd Network Level Authentication (NLS) om operativsystemet stöder den (Windows 7, Windows Server 2008 och Windows Server 2008 R2). För att kunna utnyttja sårbarheten måste angriparen då identifiera sig i RDS-tjänsten.
- I brandväggar blockera TCP-trafik från internet till port 3389.
Vad kan jag göra?
- Alert (AA19-168A): Microsoft Operating Systems BlueKeep Vulnerability https://www.us-cert.gov/ncas/alerts/AA19-168A (Extern länk)
- Prevent a worm by updating Remote Desktop Services (CVE-2019-0708) https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/ (Extern länk)
- CVE-2019-0708 Remote Desktop Services Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708 (Extern länk)
- Customer guidance for CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability: May 14, 2019 https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708 (Extern länk)
- Windows XP -tuen loppuminen aiheuttaa tietoturvariskejä yksityishenkilöille ja organisaatioille (03.2014) https://legacy.viestintavirasto.fi/attachments/Windows_XP_-tietoturvakatsaus.pdf (Extern länk)
- Description of the security update for the remote code execution vulnerability in Windows XP SP3, Windows Server 2003 SP2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 and Windows Embedded Standard 2009 https://support.microsoft.com/en-us/help/4500331/windows-update-kb4500331 (Extern länk)
- Uppdateringspaketer för Windows XP och Server 2003 i Microsoft Update Catalog https://www.catalog.update.microsoft.com/search.aspx?q=4500331 (Extern länk)
- Microsoft Windows Remote Desktop Services CVE-2019-0708 Remote Code Execution Vulnerability https://www.securityfocus.com/bid/108273/ (Extern länk)
- Critical Remote Code Execution Vulnerability CVE-2019-0708 Addressed in Patch Tuesday Updates https://www.tenable.com/blog/critical-remote-code-execution-vulnerability-cve-2019-0708-addressed-in-patch-tuesday-updates (Extern länk)
- CERT-EU advisory 2019-013: https://media.cert.europa.eu/static/SecurityAdvisories/2019/CERT-EU-SA2019-013.pdf (Extern länk)
- McAfee blog: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/ (Extern länk)
- https://www.welivesecurity.com/2019/05/22/patch-now-bluekeep-vulnerability/ (Extern länk)
- https://isc.sans.edu/diary/rss/24960 (Extern länk)
- ACSC:s skyddsanvisningar: Australian Cyber Security Centre advises Windows users across Australia to protect against BlueKeep https://www.cyber.gov.au/news/protect-against-BlueKeep (Extern länk)
- Microsofts Detection and Response Teams (DART) skyddsanvisningar: Protect against BlueKeep https://www.microsoft.com/security/blog/2019/08/08/protect-against-bluekeep/ (Extern länk)
- UPDATE: ACSC confirms potential exploitation of BlueKeep vulnerability https://www.cyber.gov.au/news/update-acsc-confirms-potential-exploitation-bluekeep-vulnerability (Extern länk)
- Initial Metasploit Exploit Module for BlueKeep (CVE-2019-0708) https://blog.rapid7.com/2019/09/06/initial-metasploit-exploit-module-for-bluekeep-cve-2019-0708/ (Extern länk)
Tillsatt information om exempelkod, utnyttjande av sårbarheten och Metasploit modul.