BlueKeep - BlueKeep
| |
| CVE-identifikator (er) | CVE - 2019-0708 |
|---|---|
| Dato patched | 14 maj 2019 |
| Opdageren | UK National Cyber Security Center |
| Berørt software | før Windows 8- versioner af Microsoft Windows |
BlueKeep ( CVE - 2019-0708 ) er en sikkerhedsbrist , der blev opdaget i Microsoft 's Remote Desktop Protocol (RDP) implementering, hvilket giver mulighed for at køre skadelig kode .
Først rapporteret i maj 2019 er den til stede i alle ikke-patchede Windows NT-baserede versioner af Microsoft Windows fra Windows 2000 gennem Windows Server 2008 R2 og Windows 7 . Microsoft udstedte en sikkerhedsopdatering (inklusive en opdatering uden for båndet til flere versioner af Windows, der har nået deres udløb, såsom Windows XP ) den 14. maj 2019. Den 13. august 2019 relaterede BlueKeep-sikkerhedssårbarheder samlet navngivet DejaBlue , blev rapporteret at påvirke nyere Windows-versioner, inklusive Windows 7 og alle nyere versioner op til Windows 10 af operativsystemet såvel som de ældre Windows-versioner. Den 6. september 2019 en Metasploit udnytte den wormable BlueKeep sikkerhedsbrist blev annonceret at have været frigivet i det offentlige rum.
Historie
BlueKeep-sikkerhedssårbarheden blev først bemærket af UK National Cyber Security Center og den 14. maj 2019 rapporteret af Microsoft . Sårbarheden blev navngivet BlueKeep af computersikkerhedsekspert Kevin Beaumont på Twitter . BlueKeep spores officielt som: CVE- 2019-0708 og er en " wormable " ekstern sårbarhed med kodeudførelse .
Både det amerikanske sikkerhedsagentur (som udstedte sin egen rådgivning om sårbarheden den 4. juni 2019) og Microsoft erklærede, at denne sårbarhed potentielt kunne bruges af selvforplantende orme med Microsoft (baseret på en sikkerhedsforskerens skøn om, at næsten 1 million enheder var sårbar) siger, at en sådan teoretisk angreb kunne være af samme størrelsesorden til EternalBlue baserede angreb såsom NotPetya og WannaCry .
Samme dag som NSA-rådgivningen afslørede forskere fra CERT Coordination Center et separat RDP- relateret sikkerhedsproblem i Windows 10. maj 2019-opdateringen og Windows Server 2019 med henvisning til en ny adfærd, hvor loginoplysninger til RDP Network Level Authentication (NLA) er cachelagret på klientsystemet, og brugeren kan automatisk få adgang til deres RDP-forbindelse igen, hvis deres netværksforbindelse afbrydes. Microsoft afviste denne sårbarhed som værende tilsigtet adfærd, og den kan deaktiveres via gruppepolitik .
Fra den 1. juni 2019 syntes ingen aktiv malware af sårbarheden at være offentligt kendt; dog har muligvis ukendte proof of concept (PoC) koder, der udnytter sårbarheden, muligvis været tilgængelige. Den 1. juli 2019 rapporterede et britisk sikkerhedsfirma Sophos om et fungerende eksempel på en sådan PoC for at understrege det presserende behov for at lappe sårbarheden. Den 22. juli 2019 blev flere oplysninger om en udnyttelse angiveligt afsløret af en konferencetaler fra et kinesisk sikkerhedsfirma. Den 25. juli 2019 rapporterede computereksperter, at en kommerciel version af udnyttelsen muligvis havde været tilgængelig. 31. juli 2019 rapporterede computereksperter en signifikant stigning i ondsindet RDP-aktivitet og advarede, baseret på historier om udnyttelser fra lignende sårbarheder, om at en aktiv udnyttelse af BlueKeep-sårbarheden i naturen kan være nært forestående.
Den 13. august 2019 blev relaterede BlueKeep-sikkerhedssårbarheder, samlet kaldet DejaBlue , rapporteret at påvirke nyere Windows-versioner, inklusive Windows 7 og alle nyere versioner af operativsystemet op til Windows 10 samt de ældre Windows-versioner.
Den 6. september 2019 blev en udnyttelse af den wormable BlueKeep-sikkerhedssårbarhed annonceret for at være frigivet til det offentlige område. Den oprindelige version af denne udnyttelse var imidlertid upålidelig, idet den vides at forårsage " blå skærm " (BSOD) -fejl. Der blev senere annonceret en løsning, der fjernede årsagen til BSOD-fejlen.
Den 2. november 2019 blev den første BlueKeep-hackingkampagne i masseskala rapporteret og omfattede en mislykket cryptojacking-mission.
Den 8. november 2019 bekræftede Microsoft et BlueKeep-angreb og opfordrede brugerne til straks at lappe deres Windows-systemer.
Mekanisme
RDP-protokollen bruger "virtuelle kanaler", konfigureret før godkendelse, som en datasti mellem klienten og serveren til at levere udvidelser. RDP 5.1 definerer 32 "statiske" virtuelle kanaler, og "dynamiske" virtuelle kanaler er indeholdt i en af disse statiske kanaler. Hvis en server binder den virtuelle kanal "MS_T120" (en kanal, hvor der ikke er nogen legitim grund til en klient til at forbinde til) med en anden end 31 statisk kanal, heap korruption opstår der giver mulighed for kørsel af vilkårlig kode på systemniveau.
Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 og Windows Server 2008 R2 blev navngivet af Microsoft som værende sårbare over for dette angreb. Versioner, der er nyere end 7, såsom Windows 8 og Windows 10 , blev ikke berørt. Agenturet for cybersikkerhed og infrastruktur sikkerhed erklærede, at det også med succes havde opnået kodeudførelse via sårbarheden på Windows 2000 .
Afbødning
Microsoft frigav patches til sårbarheden den 14. maj 2019 til Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 og Windows Server 2008 R2 . Dette omfattede versioner af Windows, der har nået deres slutning (som Vista, XP og Server 2003) og derfor ikke længere er berettigede til sikkerhedsopdateringer. Plasteret tvinger den førnævnte "MS_T120" -kanal til altid at være bundet til 31, selvom en RDP-server anmoder om andet.
NSA anbefalede yderligere foranstaltninger, såsom deaktivering af Remote Desktop Services og den tilknyttede port ( TCP 3389), hvis den ikke bruges, og kræver netværksniveaugodkendelse (NLA) til RDP. Ifølge computersikkerhedsfirmaet Sophos kan tofaktorautentificering gøre RDP-problemet mindre sårbart. Den bedste beskyttelse er dog at fjerne RDP fra Internettet: sluk RDP fra, hvis det ikke er nødvendigt, og om nødvendigt kun gøre RDP tilgængelig via en VPN .