BlueKeep - BlueKeep
| |
| CVE-identifikator (er) | CVE - 2019-0708 |
|---|---|
| Dato lappet | 14. mai 2019 |
| Oppdageren | UK National Cyber Security Centre |
| Berørt programvare | pre- Windows 8- versjoner av Microsoft Windows |
BlueKeep ( CVE - 2019-0708 ) er et sikkerhetsproblem som ble oppdaget i Microsoft 's Remote Desktop Protocol (RDP) implementering, noe som åpner for muligheten for ekstern kjøring av kode .
Først rapportert i mai 2019, er den til stede i alle ikke-oppdaterte Windows NT-baserte versjoner av Microsoft Windows fra Windows 2000 gjennom Windows Server 2008 R2 og Windows 7 . Microsoft utstedte en sikkerhetsoppdatering (inkludert en out-of-band-oppdatering for flere versjoner av Windows som har nådd slutten av deres levetid, for eksempel Windows XP ) 14. mai 2019. 13. august 2019 relaterte BlueKeep-sikkerhetsproblemer, samlet kalt DejaBlue , ble rapportert å påvirke nyere Windows-versjoner, inkludert Windows 7 og alle nyere versjoner opp til Windows 10 av operativsystemet, samt de eldre Windows-versjonene. 6. september 2019 ble en utnyttelse av Metasploit av den ormbare BlueKeep-sikkerhetsproblemet kunngjort for å ha blitt frigitt i det offentlige rike.
Historie
BlueKeep-sikkerhetsproblemet ble først notert av UK National Cyber Security Center, og 14. mai 2019 rapportert av Microsoft . Sårbarheten ble kåret til BlueKeep av datasikkerhetsekspert Kevin Beaumont på Twitter . BlueKeep spores offisielt som: CVE- 2019-0708 og er et " wormable " eksternt kodeutførelsessårbarhet .
Både US National Security Agency (som ga sin egen rådgivning om sårbarheten 4. juni 2019) og Microsoft uttalte at dette sårbarheten potensielt kan brukes av selvpropagerende ormer , med Microsoft (basert på en sikkerhetsforskerens estimering av at nesten 1 million enheter var sårbare) og sa at et slikt teoretisk angrep kunne være av samme skala som EternalBlue- baserte angrep som NotPetya og WannaCry .
Samme dag som NSA-rådgivningen avslørte forskere fra CERT Coordination Center et eget RDP- relatert sikkerhetsproblem i Windows 10. mai 2019-oppdateringen og Windows Server 2019 , med henvisning til en ny oppførsel der påloggingsinformasjonen til RDP Network Level Authentication (NLA) er lagret på klientsystemet, og brukeren kan få tilgang til RDP-tilkoblingen automatisk hvis nettverkstilkoblingen deres blir avbrutt. Microsoft avviste dette sikkerhetsproblemet som tiltenkt oppførsel, og det kan deaktiveres via gruppepolicy .
Fra 1. juni 2019 så det ikke ut til at noen aktiv skadelig programvare av sårbarheten var offentlig kjent; Imidlertid kan ukjente proof of concept (PoC) koder som utnytter sårbarheten ha vært tilgjengelig. 1. juli 2019 rapporterte Sophos , et britisk sikkerhetsfirma, om et fungerende eksempel på en slik poC for å understreke det presserende behovet for å lappe sårbarheten. 22. juli 2019 ble flere detaljer om en utnyttelse avslørt av en konferansetaler fra et kinesisk sikkerhetsfirma. 25. juli 2019 rapporterte dataeksperter at en kommersiell versjon av utnyttelsen kan ha vært tilgjengelig. 31. juli 2019 rapporterte dataeksperter en betydelig økning i ondsinnet RDP-aktivitet og advarte, basert på historier om utnyttelser fra lignende sårbarheter, om at en aktiv utnyttelse av BlueKeep-sårbarheten i naturen kan være nært forestående.
13. august 2019 ble relaterte BlueKeep-sikkerhetsproblemer, samlet kalt DejaBlue , rapportert å påvirke nyere Windows-versjoner, inkludert Windows 7 og alle nyere versjoner av operativsystemet opp til Windows 10 , samt eldre Windows-versjoner.
6. september 2019 ble en utnyttelse av den ormbare BlueKeep-sikkerhetsproblemet kunngjort for å ha blitt frigitt i det offentlige rike. Den første versjonen av denne utnyttelsen var imidlertid upålitelig, fordi den var kjent for å forårsake " blå skjerm " (BSOD) -feil. En løsning ble senere annonsert, og årsaken til BSOD-feilen ble fjernet.
2. november 2019 ble den første BlueKeep-hackingkampanjen i masseskala rapportert, og inkluderte et mislykket kryptojacking-oppdrag.
8. november 2019 bekreftet Microsoft et BlueKeep-angrep, og oppfordret brukere til umiddelbart å lappe Windows-systemene sine.
Mekanisme
RDP-protokollen bruker "virtuelle kanaler", konfigurert før autentisering, som en datasti mellom klienten og serveren for å tilby utvidelser. RDP 5.1 definerer 32 "statiske" virtuelle kanaler, og "dynamiske" virtuelle kanaler er inneholdt i en av disse statiske kanalene. Hvis en server binder det virtuelle kanal "MS_T120" (en kanal for hvilken det ikke er noen legitim grunn til en klient for å koble til) med en statisk kanal enn 31 stakkødeleggelse oppstår som gjør det mulig for en vilkårlig kode på systemnivå.
Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 og Windows Server 2008 R2 ble kåret av Microsoft som sårbare for dette angrepet. Versjoner som er nyere enn 7, for eksempel Windows 8 og Windows 10 , ble ikke berørt. Den Cybersecurity og Infrastructure Security Agency uttalt at det hadde også lykkes oppnådd kode via sikkerhetsproblemet på Windows 2000 .
Skadebegrensning
Microsoft ga ut oppdateringer for sikkerhetsproblemet 14. mai 2019 for Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 og Windows Server 2008 R2 . Dette inkluderte versjoner av Windows som har nådd slutten av deres levetid (som Vista, XP og Server 2003) og som dermed ikke lenger er kvalifisert for sikkerhetsoppdateringer. Oppdateringen tvinger den nevnte "MS_T120" -kanalen til alltid å være bundet til 31, selv om en RDP-server ber om noe annet.
NSA anbefalte ytterligere tiltak, for eksempel å deaktivere Remote Desktop Services og den tilknyttede porten ( TCP 3389) hvis den ikke brukes, og kreve Network Level Authentication (NLA) for RDP. Ifølge datasikkerhetsselskapet Sophos kan tofaktorautentisering gjøre RDP-problemet mindre sårbart. Den beste beskyttelsen er imidlertid å ta RDP av Internett: slå av RDP hvis ikke nødvendig, og om nødvendig, gjør RDP kun tilgjengelig via en VPN .