2019. május 14-én a Microsoft bejelentette egy kritikus sebezhetőséget a Remote Table Service (korábban Terminal Services) Windows rendszeren történő megvalósításában, amely lehetővé teszi egy nem hitelesített támadó számára, hogy távolról futtasson tetszőleges kódot a célrendszeren az RDP segítségével. Az RCE (Remote Code Execution) sebezhetőséget a CVE-2019-0708 számú dokumentum tartalmazza, és a hivatalos neve BlueKeep. A biztonsági réseket csak a Windows régebbi verziói érintik - a Windows XP-től (Windows Server 2003) a Windows 7-ig (Windows Server 2008 R2). Az RDS új biztonsági réseit (Windows 10, 8.1 és Windows Server 2012R2 / 2016/2019) nem érinti ez a biztonsági rés.
Tartalom:
- Az RCE CVE-2019-0708 biztonsági rése a távoli asztali szolgáltatásokban
- Sebezhetőség elleni védelem BlueKeep CVE-2019-0708
- A Windows frissítései az RDP sebezhetőségének megakadályozására
Az RCE CVE-2019-0708 biztonsági rése a távoli asztali szolgáltatásokban
A sebezhetőség nem magában az RDP protokollban található, hanem a Remote Desktop Service bevezetésében a Windows régebbi verzióiban. A biztonsági rés kihasználásához csak az érintett Windows verzióval rendelkező számítógéphez szükséges hálózati hozzáférés és az engedélyezett RDP szolgáltatás jelenléte (amelynek hozzáférését a tűzfalak nem blokkolhatják). Ie ha a Windows gazdagép RDP-n keresztül elérhető az internetről, ez azt jelenti, hogy a biztonsági rést bárki kihasználhatja. A sebezhetőség úgy érhető el, hogy egy speciális kérést küld a Remote Desktop Service-nek RDP-n keresztül, miközben a távoli felhasználó előhitelesítése nem szükséges. A BlueKeep sérülékenység bevezetése után a támadó távolról végrehajthat egy tetszőleges kódot egy célrendszeren Rendszerjogosultságokkal.
A Microsoft megjegyzi, hogy nagyon nagy a valószínűsége annak, hogy olyan automatikus férgek jelennek meg, amelyek az RDS sebezhetőségét felhasználják a helyi hálózatokba történő terjedésre. Így a támadások nagyságrendje elérheti a WannaCry féreg eredményeit (a CVE-2017-0144 SMB protokoll használt biztonsági rése - EternalBlue).
Sebezhetőség elleni védelem BlueKeep CVE-2019-0708
A CVE-2019-0708 (BlueKeep) sérülékenység elleni védelem érdekében a Microsoft javasolja a biztonsági frissítések gyors telepítését (a következő szakaszban felsoroljuk). A biztonsági rés rendszereken keresztüli megvalósításának kockázatának csökkentése érdekében, amíg a frissítést a külső kerületre nem telepítik, a következő műveletek ajánlottak:
- Ideiglenesen tiltsa le az RDP hozzáférést a számítógépekhez és tiltsa le a Remote Desktop Services szolgáltatást, vagy blokkolja az RDP külső hozzáférését a hálózati kerület tűzfalain, és tiltsa le az RDP portok továbbítását a helyi hálózatra;
- Támogatás engedélyezése Hálózati szintű hitelesítés (NLA - Hálózati szintű hitelesítés) a számítógép RDP-beállításain) - konfigurálható mind a Windows 7/2008 R2, mind a Windows XP SP3 esetén. Ha az NLA engedélyezve van, a biztonsági rés megvalósításához a támadónak először érvényes fiókkal kell hitelesítenie a Remote Desktop Services szolgáltatással (a támadás csak jogos felhasználóként valósítható meg).
A Windows frissítései az RDP sebezhetőségének megakadályozására
A Microsoft frissítéseket adott ki minden olyan Windows operációs rendszerhez, amelyek sebezhetők a CVE-2019-0708 (BlueKeep) ellen. A javítások letölthetők a Microsoft Update katalógusban..
Annak ellenére, hogy a Microsoft abbahagyta a Windows XP és a Windows Server 2003 támogatását, frissítéseket adtak a BlueKeep védelemhez ezekre a régi rendszerekre. Ami ismét hangsúlyozza a feltárt sebezhetőség súlyosságát és a tömeges kizsákmányolás magas kockázatát.
Az alábbiakban közvetlen linkek találhatók a Windows népszerű verzióinak frissítéseinek manuális letöltésére:
KB4500331:
Windows XP SP3 x86, x64 Windows XP beágyazott, Windows Server 2003 SP2 x86, x64 - https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331
KB4499175:
- Windows Server 2008 R2 SP1 és Windows 7 SP1 x64 - Windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
- Windows 7 x86 SP1 - Windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows XP és 2003 esetén a kb4500331 frissítéseket manuálisan kell telepíteni.
Windows 7 és Windows Server 2008 R2 frissítés esetén KB4499175 már telepíthető a WSUS-on keresztül (a frissítés jóváhagyási beállításaitól függően) és a Microsoft Update-n keresztül. De manuálisan telepítheti az msu fájlból a wusa.exe használatával:
wusa.exe "C: \ Install \ windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu" / quiet / warnrestart
