Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Как сделать слона из ничего

Прочитали: 1323 Комментариев: 48 Рейтинг: 57

Многие умеют делать «из мухи слона». А слабо сделать слона… из ничего?

Самые первые новости звучали как удивление: мол, Microsoft выпустила экстренный патч для неподдерживаемой Windows XP, но вредоносных программ при этом нет. Автор этого выпуска, помнится, пожал плечами и не стал сохранять эти новости. А жаль, так как теперь они уже скрылись под более подробными (и более тревожными) новостями:

Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного кода на атакуемой системе.

Cогласно информации, предоставленной компанией Microsoft, для успешной эксплуатации необходимо лишь иметь сетевой доступ к хосту или серверу с уязвимой версией операционной системы Windows.

Уязвимость использует предаутентификацию и не требует взаимодействия с пользователем. Злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может выполнить произвольный код в целевой системе.

Для эксплуатации этой уязвимости злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым).

Уязвимость присутствует как среди поддерживаемых ОС, включая Windows 7, Windows Server 2008R2 и Windows Server 2008, так и неподдерживаемых – Windows XP (включая версию Embedded) и Windows 2003.

Источник 1, 2

Объясним проще. Как правило, при входе в систему (как обычном, так и удаленном) пользователь вводит логин и пароль, то есть производит аутентификацию. В данном случае уязвимость срабатывает до момента аутентификации. Злоумышленник может войти в систему, не вводя логин и пароль.

Страшно, да? Но есть одно но:

Любое будущее вредоносное ПО, использующее эту уязвимость, может распространяться с уязвимого компьютера на уязвимый компьютер аналогично распространению вредоносного ПО WannaCry по всему миру в 2017 году.

Это значит, что вредоносный код, реализующий эту уязвимость хотя бы в виде концепта, на момент выпуска патча обнаружен не был. Было лишь подозрение, что кто-то что-то нашел.

Интересным является тот факт, что эту или схожую уязвимость продавали в «даркнете» как минимум с сентября прошлого года.

Можно было тихо выпустить какой-то kbxxxxxxx. Кто регулярно устанавливает патчи, тот поставил бы и этот, а остальные и так бы остались уязвимы.

Но СМИ начали оценивать масштаб катастрофы:

На данный момент уязвимость актуальна для нескольких десятков организаций в России и более 2 млн организаций в мире, а потенциальный ущерб от промедления в оперативном реагировании и принятии защитных мер будет сравним с ущербом, нанесённым уязвимостью в протоколе SMB CVE-2017-0144 (EternalBlue).

#drweb

Почему так мало? Просто потому, что далеко не всегда извне сети удаленный доступ в нее открыт.

Короче, я уж думал чего-то не понимаю. Поэтому заморочился и поставил чистую win7, вот результаты:

#drweb

ibb.co/xFzgwnW

ibb.co/KFbY04D

By default, Remote Desktop for Administration is installed when Windows Server 2003 is installed. However, Remote Desktop for Administration is disabled for security reasons.

Как я и говорил, RDP по умолчанию выключен.

Источник

Но! Внутри сети удаленный доступ может быть включен. Поэтому количество потенциально уязвимых систем гораздо больше.

Однако продолжим историю. Через некоторое время уязвимость получила имя – BlueKeep. А исследователи начали проверять, действительно ли она работает.

О создании рабочего PoC-кода заявил исследователь безопасности под псевдонимом Valthek, хотя он не предоставил подробностей о своем эксплоите. Работоспособность кода подтвердил специалист McAfee Кристиаан Бек (Christiaan Beek).

Источник

Как водится, в Твиттере создали блог об уязвимости, из которого можно узнать о выкладке на GitHub рабочих эксплойтов для BlueKeep (вот людям делать нечего – выкладывать такое на всеобщее обозрение!).

#drweb

Ну а там и ролики на YouTube не заставили себя ждать:

В компании McAfee создали видео, демонстрирующее работу эксплойта для RCE-уязвимости BlueKeep (CVE-2019-0708), которая за последние дни набрала популярность. Несмотря на то, что Microsoft выпустила патч 14 мая, исследователи и киберпреступники продолжают уделять внимание этой проблеме безопасности.

В видео исследователи показывают, как можно использовать BlueKeep для запуска калькулятора.

Источник

Вот так: «… которая за последние дни набрала популярность», «... киберпреступники продолжают уделять внимание этой проблеме безопасности» – и ни одной новости о черве, использующем модную уязвимость. Но при этом ужасы, ужасы!

#корпоративная_безопасность #уязвимость #эксплойт #Windows

Dr.Web рекомендует

Мы неоднократно обращали внимание на опасность использования удаленного доступа в корпоративных сетях. В качестве примера можно напомнить, что хищение исходного кода компании Semantic произошло, по всей видимости, благодаря тому, что в ней использовались решения для удаленного управления, и они были исключены из антивирусной проверки.

Вот все выходные лечили другу шифровальщика…
Проникли через проброшенный порт RDP на сервер…
Видимо этим
Просили 1500 $ (спасибо @thyrex c safezone.cc)
«Вы всё еще пробрасываете порты на RDP мы уже идем к вам» (С)
Сколько говоришь что низя… Но много стало админов кому это оч сложно объяснить…

Источник

Современные ОС не подвержены этой уязвимости, поэтому мы рекомендуем переходить на них – даже если они не вызывают восторга.

CVE-2019-0708 does not affect Microsoft’s latest operating systems – Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, or Windows Server 2012.

Источник

Если вы не используете удаленный доступ, закройте его (а если используете, установите надежный пароль).

  1. В случае ранее опубликованного сервиса RDP на внешнем периметре для уязвимой ОС – закрыть этот доступ до устранения уязвимости.
  2. Установить необходимые обновления ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры: патч для Windows 7, Windows 2008, Windows XP, Windows 2003.

Возможные дополнительные компенсирующие меры:

  1. Включение проверки подлинности на уровне сети (Network Level Authentication (NLA). Однако уязвимые системы по-прежнему останутся уязвимыми для использования удаленного выполнения кода (RCE), если у злоумышленника имеются действительные учетные данные, которые можно использовать для успешной аутентификации.

Как узнать, что удаленный доступ включен?

Для Windows 7. Нажимаем Панель управленияСистемаНастройка удаленного доступа (или пункт Дополнительные параметры системы и далее закладку Удаленный доступ). Или: Пуск, щелчок правой клавишей мыши по пункту КомпьютерСвойстваНастройка удаленного доступа.

#drweb

Снимаем галочку напротив пункта Разрешить подключение удаленного помощника к этому компьютеру. В разделе Удаленный рабочий стол выбираем Не разрешать подключения…

Далее проверяем сервисы: Панель управленияАдминистрированиеСлужбы. Отключаем Службы удаленных рабочих столов. Правый клик на имени сервиса → Свойства.

#drweb

Если служба запущена, то останавливаем ее, нажав на кнопку Остановить, а также выбираем тип запуска Отключена, после чего жмем Применить.

Внимание! Настройку сервисов можно выполнить только под учетной записью администратора или введя соответствующий пароль. Именно поэтому в повседневной работе мы рекомендуем применять учетные записи обычных пользователей – злоумышленник не сможет включить сервисы обратно, не зная пароль.

#drweb

Проделываем вышеописанные действия для служб:

  • Служба Telnet, которая позволяет управлять компьютером с помощью консольных команд. Название может быть другим, ключевое слово «Telnet».
  • Служба удаленного управления Windows (WS-Management).
  • NetBIOS – протокол для обнаружения устройств в локальной сети. Здесь также могут быть разные названия, как и в случае с первой службой.
  • Удаленный реестр – позволяет менять настройки системного реестра пользователям сети.
  • Служба удаленного помощника. Удаленный помощник позволяет пассивно просматривать рабочий стол, а точнее – все действия, которые вы выполняете: открытие файлов и папок, запуск программ и настройка параметров.

Не помешает отключить службы Удаленный реестр (удаленные пользователи могут изменять ваш реестр), Сервер (доступ к файлам и принтерам для данного компьютера по сети), Диспетчер сеанса справки для удаленного рабочего стола (управляет возможностями удаленного помощника), NetMeeting Remote Desktop Sharing (служба общего доступа к рабочему столу NetMeeting) и Службы терминалов.

Если некоторых служб у вас нет, то это означает, что просто не установлены соответствующие компоненты Windows либо у вас другая версия ОС.

Для контроля изменений можно перезагрузить компьютер, после чего проверить, сохранились ли изменения в системе. Для этого нужно повторно зайти в Свойства и убедиться, что сделанные настройки сохранены.

Обращаем особое внимание, что в числе уязвимых числится Windows XP Embedded, а значит – под ударом банкоматы и встроенные системы в промышленности.

И самый животрепещущий вопрос. Защищает ли Dr.Web от CVE-2019-0708? На данный момент ни одной вредоносной программы на основе BlueKeep не зафиксировано. Защищать не от чего.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей