Kriittinen BlueKeep-haavoittuvuus Microsoftin Remote Desktop Service (RDS) -toteutuksessa tietyissä Windowsin versioissa

Haavoittuvuus9/2019

Julkaistu 15.05.2019

Päivitetty 09.09.2019 10:44

Microsoft on julkaissut tietoturvapäivityksiä Windows 7, Windows Server 2008 ja 2008 R2, Windows 2003 ja Windows XP -käyttöjärjestelmien RDS-toteutuksissa oleviin kriittisiin haavoittuvuuksiin. Haavoittuvuudet mahdollistavat matomaisesti leviävien haittaohjelmien toteuttamisen. Haavoittuvuutta hyväksikäytetään maailmalla.

RDS on aikaisemmin tunnettu nimellä Terminal Service. Nyt löydettyä haavoittuvuutta hyväksikäyttämällä hyökkääjällä on mahdollisuus suorittaa koodia järjestelmässä. Hyökkääjän pitää lähettää tietynlainen haitallinen viesti RDP:llä. Tämän voi tehdä ennen RDP-palvelulle tunnistautumista, eikä haavoittuvuuden hyväksikäyttö vaadi käyttäjältä (uhrilta) toimenpiteitä. Näin ollen kyseessä on haavoittuvuus, jota hyväksikäyttämällä on mahdollista tehdä automaattisesti leviäviä matoja.

Mato on haitallinen tietokoneohjelma, joka on suunniteltu leviämään haavoittuvasta laitteesta toiseen automaattisesti ilman käyttäjien toimenpiteitä.

Lisää tietoa aiheesta löytyy Microsoftin blogista (Ulkoinen linkki), CVE-2019-0708-haavoittuvuustiedotteesta (Ulkoinen linkki) sekä päivitysohjeista (Ulkoinen linkki).

Haavoittuvuutta hyödyntäviä esimerkkikoodeja (PoC) ja hyväksikäyttömenetelmiä on olemassa. Suosittuun tunkeutumistestaustyökalu Metasploitiin julkaistiin 6.9.2019 moduli, jolla hyökkääjä voi suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä. Haavoittuvuutta tiedetään hyväksikäytettävän maailmalla, tästä on raportoinut esimerkiksi Australian Cyber Security Centre (ACSC) (Ulkoinen linkki) 12.8.2019. Lisätietoa esimerkkikoodista löytyy mm. oheisesta artikkelista (Ulkoinen linkki). Metasploit-modulin julkitulo luultavasti lisää haavoittuvuuden hyväksikäyttöyrityksiä.

Suosittelemme haavoittuvien järjestelmien välitöntä päivittämistä tai muita suojauskeinoja. Metasploit-työkalun kehittäjät kehottavat välttämään tietoliikenneyhteyksien automaattista katkaisua, jos hyväksikäyttökoodi havaitaan verkkoliikenteessä, sillä yhteyden odottamaton katkeaminen voi johtaa kohdejärjestelmän kaatumiseen. RDP-yhteydet haavoittuviin järjestelmiin kannattaa estää kokonaan esimerkiksi palomuurisäännöillä.

Kohde

Työasemat ja loppukäyttäjäsovellukset
Sulautetut järjestelmät
Palvelimet ja palvelinsovellukset

Hyökkäystapa

Etäkäyttö
Ilman käyttäjän toimia
Ilman kirjautumista

Vaikutukset

Komentojen mielivaltainen suorittaminen
Suojauksen ohittaminen
Tietojen muokkaaminen
Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

Rikollisessa käytössä
Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

Korjaava ohjelmistopäivitys
Ongelman rajoittaminen

Haavoittuvuuden kohde

Seuraavat Windows -käyttöjärjestelmän versiot ovat haavoittuvia:

Windows 7
Windows 2003
Windows XP
Windows Server 2008

CVE-2019-0708 -haavoittuvuutta ei ole uudemmissa Windowsin (kuten 10) tai Windows Serverin versioissa.

Mistä on kysymys?

Korjaava ohjelmistopäivitys. Huomaa, että vanhempiin Windows versioihin (2003 ja XP) päivitystä ei saa automaattisesti WSUS:n kautta, vaan se pitää hakea manuaalisesti Microsotfin Update Catalog -sivuilta ja lisätä tarvittaessa WSUS:ään.
Estä palomuureissa Internetistä porttiin 3389 tuleva TCP-liikenne.
Poista RDP-palvelu käytöstä, mikäli sitä ei tarvita, kunnes haavoittuva järjestelmä on päivitetty.
Laita Network Level Authentication (NLA) päälle, mikäli käyttöjärjestelmä tukee sitä (Windows 7, Windows Server 2008, ja Windows Server 2008 R2). Tällöin hyökkääjän pitää tunnistautua RDS-palvelulle ennen mahdollisuutta hyödyntää haavoittuvuutta.
Mikäli laitteille on kuitenkin jostain syystä päästävä RDP:llä, salli yhteydet vain tietyistä IP-osoitteista (esim. VPN-putken läpi) ja/tai käytä sen yhteydessä monivaiheista tunnistautumista (multi-factor authentication, MFA).

Mitä voin tehdä?

Alert (AA19-168A): Microsoft Operating Systems BlueKeep Vulnerability https://www.us-cert.gov/ncas/alerts/AA19-168A (Ulkoinen linkki)
Prevent a worm by updating Remote Desktop Services (CVE-2019-0708) https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/ (Ulkoinen linkki)
CVE-2019-0708 Remote Desktop Services Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708 (Ulkoinen linkki)
Customer guidance for CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability: May 14, 2019 https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708 (Ulkoinen linkki)
Windows XP -tuen loppuminen aiheuttaa tietoturvariskejä yksityishenkilöille ja organisaatioille (03.2014) https://legacy.viestintavirasto.fi/attachments/Windows_XP_-tietoturvakatsaus.pdf (Ulkoinen linkki)
Description of the security update for the remote code execution vulnerability in Windows XP SP3, Windows Server 2003 SP2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 and Windows Embedded Standard 2009 https://support.microsoft.com/en-us/help/4500331/windows-update-kb4500331 (Ulkoinen linkki)
Päivityspaketteja Windows XP:lle ja Server 2003:lle Microsoft Update Catalogissa https://www.catalog.update.microsoft.com/search.aspx?q=4500331 (Ulkoinen linkki)
Microsoft Windows Remote Desktop Services CVE-2019-0708 Remote Code Execution Vulnerability https://www.securityfocus.com/bid/108273/ (Ulkoinen linkki)
Critical Remote Code Execution Vulnerability CVE-2019-0708 Addressed in Patch Tuesday Updates https://www.tenable.com/blog/critical-remote-code-execution-vulnerability-cve-2019-0708-addressed-in-patch-tuesday-updates (Ulkoinen linkki)
CERT-EU:n neuvo 2019-013: https://media.cert.europa.eu/static/SecurityAdvisories/2019/CERT-EU-SA2019-013.pdf (Ulkoinen linkki)
McAfeen kuvaus haavoittuvuudesta ja sen hyväksikäytöstä: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/ (Ulkoinen linkki)
https://www.welivesecurity.com/2019/05/22/patch-now-bluekeep-vulnerability/ (Ulkoinen linkki)
https://isc.sans.edu/diary/rss/24960 (Ulkoinen linkki)
ACSC:n ohjeet järjestelmien suojaamiseen: Australian Cyber Security Centre advises Windows users across Australia to protect against BlueKeep https://www.cyber.gov.au/news/protect-against-BlueKeep (Ulkoinen linkki)
Microsoftin Detection and Response Teamin (DART) ohjeet järjestelmien suojaamiseen: Protect against BlueKeep https://www.microsoft.com/security/blog/2019/08/08/protect-against-bluekeep/ (Ulkoinen linkki)
UPDATE: ACSC confirms potential exploitation of BlueKeep vulnerability https://www.cyber.gov.au/news/update-acsc-confirms-potential-exploitation-bluekeep-vulnerability (Ulkoinen linkki)
Helppokäyttöinen hyväksikäyttökoodi on julkaistu Metasploit-modulina: Initial Metasploit Exploit Module for BlueKeep (CVE-2019-0708) https://blog.rapid7.com/2019/09/06/initial-metasploit-exploit-module-for-bluekeep-cve-2019-0708/ (Ulkoinen linkki)

22.05.2019 16:04

Lisätty tieto esimerkkikoodista ja viittaus uutiseen aiheesta.

14.08.2019 10:22

Lisätty tietoa BlueKeepiin olemassa olevista exploiteista ja siitä, että haavoittuvuutta käytetään maailmalla hyväksi.

09.09.2019 10:44

Lisätty tieto Metasploit-modulista ja suositus välttää hyökkäykseksi tunnistetun liikenteen katkaisemista kesken hyökkäyksen.