Kritiska Microsoft attālās piekļuves protokola (RDP) ievainojamība

2019. gada 14. maijā, nākot klajā ar ikmēneša atjauninājumiem, Microsoft ir izlaidis ielāpu arī kritiskai ievainojamībai, kurai piešķirts identifikācijas numurs CVE-2019-0708, kibertelpā tā pazīstama arī kā BlueKeep [1]. Ievainojamība ir pietiekami nopietna, lai Microsoft pieļautu izņēmumu un izlaistu ielāpus arī tādām vēsturiskām operētājsistēmām kā Windows 2003, Windows XP un Windows Vista no kuru tehniskā atbalsta Microsoft jau sen kā atteicies.

Šī ievainojamība skar Microsoft attālās darbvirsmas piekļuves pakalpojumus (RDS), kā pamatā tiek izmantots attālās piekļuves protokols (Remote Desktop Protocol). RDP nodrošina lietotājiem iespēju iekārtai pieslēgties un to administrēt attālināti.  

Šī ievainojamība ir bīstama, jo tā uzbrucējiem sniedz attālinātā koda izpildes iespēju (Remote Code Execution). Ievainojamības ekspluatācijai nav nepieciešama lietotāja/iekārtas īpašnieka iesaiste vai klātbūtne. Veiksmīga uzbrukuma gadījumā uzbrucējs var pārņemt kontroli pār skarto sistēmu un īstenot nesankcionētas aktivitātes, piemēram, augšupielādēt jaunas programmas; skatīt, labot un dzēst datus; vai izveidot jaunu lietotāja kontu ar visām atļaujām [2].

Pagaidām vēl nav publicēts neviens uzbrukuma vektors, kas tuvplānā atklātu ievainojamības izmantošanas iespējas. Tomēr vairāki uzticami interneta avoti ir norādījuši, ka šādi kodi pastāv. Tādēļ pastāvošais risks uzskatāms par reālu un tas ir tikai laika jautājums, līdz ievainojamības ekspluatācija tiktu automatizēta.

Kritisku šo ievainojamību padara arī fakts, ka veiksmīga uzbrukuma gadījumā, izmantotā ļaunatūra var izplatīties arī uz citām neaizsargātām sistēmām, pavairojot pati sevi [3].

Skartās sistēmas:

• Windows 7

• Windows Server 2008 R2

• Windows Server 2008

• Windows Vista

• Windows 2003

• Windows XP

Ko darīt?

• Veikt nepieciešamos drošības atjauninājumus skartajām operētājsistēmām. Atjauninājumi pieejami šeit: https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

• Atslēgt RDS, ja šāds serviss netiek izmantots. Ja tāds tomēr tiek izmantots, tad uzmanīgi sekot līdzi datu plūsmai tīklā un uzraudzīt aizdomīgas aktivitātes skartajās sistēmās.

• Aktivizēt NLA (Network Level Authentication) uz sistēmām, kas izmanto sekojošas operētājsistēmas: Windows 7, Windows Server 2008 un Windows Server 2008 R2. Šis solis neļaus uzbrucējam izmantot CVE-2019-0708 ievainojamību pēc būtības, jo viņam būs jāautorizējas sistēmā ar derīgu lietotājvārdu un paroli.

• Ja tas iespējams – nobloķēt pārraides vadības protokola (TCP) portu 3389 Windows ugunsmūrī. Tas aizkavēs neautorizētu pieslēgšanos no interneta. [3]

Tāpat iesakām pārbaudīt un pilnveidot drošības uzstādījumus, lai mazinātu datora, servera kompromitācijas riskus nākotnē, piemēram: iestatīt paroli ne mazāku kā 14 simboli lietotājam, kurš var ielogoties iekārtā izmantojot RDP; izmantot divu faktoru autentifikāciju; atļaut izmantot RDP ierobežotam lietotāju lokam; atļaut piekļuvi, piemēram, tikai no VPN tīkla.

Šobrīd ir pieejami vairāki veidi, ievainojamības noteikšanai:

• modulis Tenable Nessus skenerim: https://www.tenable.com/plugins/nessus/125313
• modulis priekš Metasploit: https://github.com/rapid7/metasploit-framework/pull/11869
• atsevišķs rīks: https://github.com/robertdavidgraham/rdpscan

Izmantojot pēdējo rīku, dotajā apakštīklā strādājošās sistēmas var pārbaudīt ar komandu: rdpscan 10.10.1.1-10.10.1.255.

Tekstā izmantotās atsauces:

[1] Microsoft security bulletin CVE-2019-0708, May 14, 2019: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708

[2] [SingCERT] Microsoft Remote Desktop Services Remote Code Execution Vulnerability (CVE-2019-0708), May 15, 2019: https://www.csa.gov.sg/singcert/news/advisories-alerts/microsoft-remote-desktop-services-remote-code-execution-vulnerability-cve-2019-0708

[3] Critical Microsoft Remote Desktop Vulnerability, May 14, 2019: https://cyber.gc.ca/en/alerts/critical-microsoft-remote-desktop-vulnerability

Papildu avoti informācijai:

• Microsoft advisory: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

• Microsoft advisory for legacy operating systems (Windows XP and Server 2003): https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708

• Microsoft blog post: https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

Informācija sagatavota Eiropas Savienības CEF projekta “Improving Cyber Security Capacities in Latvia” (INEA/CEF/ICT/A2017/1528784) ietvaros.