-
добавить в избранное
Как сделать слона из ничего
24 июня 2019
Многие умеют делать «из мухи слона». А слабо сделать слона… из ничего?
Самые первые новости звучали как удивление: мол, Microsoft выпустила экстренный патч для неподдерживаемой Windows XP, но вредоносных программ при этом нет. Автор этого выпуска, помнится, пожал плечами и не стал сохранять эти новости. А жаль, так как теперь они уже скрылись под более подробными (и более тревожными) новостями:
Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного кода на атакуемой системе.
Cогласно информации, предоставленной компанией Microsoft, для успешной эксплуатации необходимо лишь иметь сетевой доступ к хосту или серверу с уязвимой версией операционной системы Windows.
Уязвимость использует предаутентификацию и не требует взаимодействия с пользователем. Злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может выполнить произвольный код в целевой системе.
Для эксплуатации этой уязвимости злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым).
Уязвимость присутствует как среди поддерживаемых ОС, включая Windows 7, Windows Server 2008R2 и Windows Server 2008, так и неподдерживаемых – Windows XP (включая версию Embedded) и Windows 2003.
Объясним проще. Как правило, при входе в систему (как обычном, так и удаленном) пользователь вводит логин и пароль, то есть производит аутентификацию. В данном случае уязвимость срабатывает до момента аутентификации. Злоумышленник может войти в систему, не вводя логин и пароль.
Страшно, да? Но есть одно но:
Любое будущее вредоносное ПО, использующее эту уязвимость, может распространяться с уязвимого компьютера на уязвимый компьютер аналогично распространению вредоносного ПО WannaCry по всему миру в 2017 году.
Это значит, что вредоносный код, реализующий эту уязвимость хотя бы в виде концепта, на момент выпуска патча обнаружен не был. Было лишь подозрение, что кто-то что-то нашел.
Интересным является тот факт, что эту или схожую уязвимость продавали в «даркнете» как минимум с сентября прошлого года.
Можно было тихо выпустить какой-то kbxxxxxxx. Кто регулярно устанавливает патчи, тот поставил бы и этот, а остальные и так бы остались уязвимы.
Но СМИ начали оценивать масштаб катастрофы:
На данный момент уязвимость актуальна для нескольких десятков организаций в России и более 2 млн организаций в мире, а потенциальный ущерб от промедления в оперативном реагировании и принятии защитных мер будет сравним с ущербом, нанесённым уязвимостью в протоколе SMB CVE-2017-0144 (EternalBlue).
Почему так мало? Просто потому, что далеко не всегда извне сети удаленный доступ в нее открыт.
Короче, я уж думал чего-то не понимаю. Поэтому заморочился и поставил чистую win7, вот результаты:
ibb.co/xFzgwnW
ibb.co/KFbY04D
By default, Remote Desktop for Administration is installed when Windows Server 2003 is installed. However, Remote Desktop for Administration is disabled for security reasons.
Как я и говорил, RDP по умолчанию выключен.
Но! Внутри сети удаленный доступ может быть включен. Поэтому количество потенциально уязвимых систем гораздо больше.
Однако продолжим историю. Через некоторое время уязвимость получила имя – BlueKeep. А исследователи начали проверять, действительно ли она работает.
О создании рабочего PoC-кода заявил исследователь безопасности под псевдонимом Valthek, хотя он не предоставил подробностей о своем эксплоите. Работоспособность кода подтвердил специалист McAfee Кристиаан Бек (Christiaan Beek).
Как водится, в Твиттере создали блог об уязвимости, из которого можно узнать о выкладке на GitHub рабочих эксплойтов для BlueKeep (вот людям делать нечего – выкладывать такое на всеобщее обозрение!).
Ну а там и ролики на YouTube не заставили себя ждать:
В компании McAfee создали видео, демонстрирующее работу эксплойта для RCE-уязвимости BlueKeep (CVE-2019-0708), которая за последние дни набрала популярность. Несмотря на то, что Microsoft выпустила патч 14 мая, исследователи и киберпреступники продолжают уделять внимание этой проблеме безопасности.
В видео исследователи показывают, как можно использовать BlueKeep для запуска калькулятора.
Вот так: «… которая за последние дни набрала популярность», «... киберпреступники продолжают уделять внимание этой проблеме безопасности» – и ни одной новости о черве, использующем модную уязвимость. Но при этом ужасы, ужасы!
Антивирусная правДА! рекомендует
Мы неоднократно обращали внимание на опасность использования удаленного доступа в корпоративных сетях. В качестве примера можно напомнить, что хищение исходного кода компании Semantic произошло, по всей видимости, благодаря тому, что в ней использовались решения для удаленного управления, и они были исключены из антивирусной проверки.
Вот все выходные лечили другу шифровальщика…
Проникли через проброшенный порт RDP на сервер…
Видимо этим
Просили 1500 $ (спасибо @thyrex c safezone.cc)
«Вы всё еще пробрасываете порты на RDP мы уже идем к вам» (С)
Сколько говоришь что низя… Но много стало админов кому это оч сложно объяснить…
Современные ОС не подвержены этой уязвимости, поэтому мы рекомендуем переходить на них – даже если они не вызывают восторга.
CVE-2019-0708 does not affect Microsoft’s latest operating systems – Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, or Windows Server 2012.
Если вы не используете удаленный доступ, закройте его (а если используете, установите надежный пароль).
- В случае ранее опубликованного сервиса RDP на внешнем периметре для уязвимой ОС – закрыть этот доступ до устранения уязвимости.
- Установить необходимые обновления ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры: патч для Windows 7, Windows 2008, Windows XP, Windows 2003.
Возможные дополнительные компенсирующие меры:
- Включение проверки подлинности на уровне сети (Network Level Authentication (NLA). Однако уязвимые системы по-прежнему останутся уязвимыми для использования удаленного выполнения кода (RCE), если у злоумышленника имеются действительные учетные данные, которые можно использовать для успешной аутентификации.
Как узнать, что удаленный доступ включен?
Для Windows 7. Нажимаем Панель управления → Система → Настройка удаленного доступа (или пункт Дополнительные параметры системы и далее закладку Удаленный доступ). Или: Пуск, щелчок правой клавишей мыши по пункту Компьютер → Свойства → Настройка удаленного доступа.
Снимаем галочку напротив пункта Разрешить подключение удаленного помощника к этому компьютеру. В разделе Удаленный рабочий стол выбираем Не разрешать подключения…
Далее проверяем сервисы: Панель управления → Администрирование → Службы. Отключаем Службы удаленных рабочих столов. Правый клик на имени сервиса → Свойства.
Если служба запущена, то останавливаем ее, нажав на кнопку Остановить, а также выбираем тип запуска Отключена, после чего жмем Применить.
Внимание! Настройку сервисов можно выполнить только под учетной записью администратора или введя соответствующий пароль. Именно поэтому в повседневной работе мы рекомендуем применять учетные записи обычных пользователей – злоумышленник не сможет включить сервисы обратно, не зная пароль.
Проделываем вышеописанные действия для служб:
- Служба Telnet, которая позволяет управлять компьютером с помощью консольных команд. Название может быть другим, ключевое слово «Telnet».
- Служба удаленного управления Windows (WS-Management).
- NetBIOS – протокол для обнаружения устройств в локальной сети. Здесь также могут быть разные названия, как и в случае с первой службой.
- Удаленный реестр – позволяет менять настройки системного реестра пользователям сети.
- Служба удаленного помощника. Удаленный помощник позволяет пассивно просматривать рабочий стол, а точнее – все действия, которые вы выполняете: открытие файлов и папок, запуск программ и настройка параметров.
Не помешает отключить службы Удаленный реестр (удаленные пользователи могут изменять ваш реестр), Сервер (доступ к файлам и принтерам для данного компьютера по сети), Диспетчер сеанса справки для удаленного рабочего стола (управляет возможностями удаленного помощника), NetMeeting Remote Desktop Sharing (служба общего доступа к рабочему столу NetMeeting) и Службы терминалов.
Если некоторых служб у вас нет, то это означает, что просто не установлены соответствующие компоненты Windows либо у вас другая версия ОС.
Для контроля изменений можно перезагрузить компьютер, после чего проверить, сохранились ли изменения в системе. Для этого нужно повторно зайти в Свойства и убедиться, что сделанные настройки сохранены.
Обращаем особое внимание, что в числе уязвимых числится Windows XP Embedded, а значит – под ударом банкоматы и встроенные системы в промышленности.
И самый животрепещущий вопрос. Защищает ли Dr.Web от CVE-2019-0708? На данный момент ни одной вредоносной программы на основе BlueKeep не зафиксировано. Защищать не от чего.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Вячеслав
11:05:25 2020-11-09
Lia00
01:04:12 2019-07-12
Неуёмный Обыватель
00:20:48 2019-07-10
Шалтай Александр Болтай
20:30:50 2019-06-25
Andromeda
19:36:31 2019-06-25
Альфа
19:12:29 2019-06-25
Геральт
18:01:23 2019-06-25
Sasha50
04:19:21 2019-06-25
marisha-san
21:43:35 2019-06-24
razgen
21:25:50 2019-06-24
Shogun
21:24:56 2019-06-24
Dvakota
20:48:15 2019-06-24
Татьяна
20:04:40 2019-06-24
anatol
19:55:46 2019-06-24
robot
19:42:13 2019-06-24
Toma
17:50:47 2019-06-24
forrus
16:30:28 2019-06-24
Masha
16:15:23 2019-06-24
sanek-xf
15:19:26 2019-06-24
Serg07
14:04:04 2019-06-24
L1t1um
14:03:15 2019-06-24
Natalya_2017
13:57:47 2019-06-24
Dmur
12:26:26 2019-06-24
maestro431
11:48:09 2019-06-24
sgolden
11:44:11 2019-06-24
kozinka.ru
11:40:04 2019-06-24
blade79
11:33:51 2019-06-24
Денисенко Павел Андреевич
10:53:58 2019-06-24
Lenba
10:53:09 2019-06-24
vinnetou
10:38:42 2019-06-24
I46
10:36:51 2019-06-24
EvgenyZ
10:22:05 2019-06-24
Zserg
10:19:18 2019-06-24
Alexander
10:08:30 2019-06-24
Ну да ладно... А вот защита удалённого доступа к системам и компьютеру - это очень серьёзно. Спасибо за советы.
P.S. Защищает или не защищает Dr.Web от CVE-2019-0708, - я бы, не назвал этот вопрос "животрепещущим". Сколько уже подобных "зловредов" находятся в анатомическом музее компании «Доктор Веб», а сколько ещё будет... Главное понимать, - осознанно проложенный по производственной необходимости "удалённый доступ" - это созданная дополнительная "дыра" для злоумышленника. И поэтому требует особого внимания, заботы, защиты от "посторонних" и не только средствами Dr.Web...
I23
10:05:12 2019-06-24
vkor
09:55:06 2019-06-24
SGES
09:50:43 2019-06-24
Oleg
09:34:45 2019-06-24
Vlad X
09:20:57 2019-06-24
Ilya
09:11:17 2019-06-24
dyadya_Sasha
08:57:27 2019-06-24
Пaвeл
07:44:43 2019-06-24
ka_s
07:10:39 2019-06-24
Любитель пляжного футбола
07:04:39 2019-06-24
Любитель пляжного футбола
06:55:18 2019-06-24
tigra
06:44:12 2019-06-24
Morpheus
05:17:38 2019-06-24
Korney
03:18:59 2019-06-24