Kriittinen BlueKeep-haavoittuvuus Microsoftin Remote Desktop Service (RDS) -toteutuksessa tietyissä Windowsin versioissa

Microsoft on julkaissut tietoturvapäivityksiä Windows 7, Windows Server 2008 ja 2008 R2, Windows 2003 ja Windows XP -käyttöjärjestelmien RDS-toteutuksissa oleviin kriittisiin haavoittuvuuksiin. Haavoittuvuudet mahdollistavat matomaisesti leviävien haittaohjelmien toteuttamisen. Haavoittuvuutta hyväksikäytetään maailmalla.

RDS on aikaisemmin tunnettu nimellä Terminal Service. Nyt löydettyä haavoittuvuutta hyväksikäyttämällä hyökkääjällä on mahdollisuus suorittaa koodia järjestelmässä. Hyökkääjän pitää lähettää tietynlainen haitallinen viesti RDP:llä. Tämän voi tehdä ennen RDP-palvelulle tunnistautumista, eikä haavoittuvuuden hyväksikäyttö vaadi käyttäjältä (uhrilta) toimenpiteitä. Näin ollen kyseessä on haavoittuvuus, jota hyväksikäyttämällä on mahdollista tehdä automaattisesti leviäviä matoja.

Mato on haitallinen tietokoneohjelma, joka on suunniteltu leviämään haavoittuvasta laitteesta toiseen automaattisesti ilman käyttäjien toimenpiteitä.

Lisää tietoa aiheesta löytyy Microsoftin blogista, CVE-2019-0708-haavoittuvuustiedotteesta sekä päivitysohjeista.

Haavoittuvuutta hyödyntäviä esimerkkikoodeja (PoC) ja hyväksikäyttömenetelmiä on olemassa. Suosittuun tunkeutumistestaustyökalu Metasploitiin julkaistiin 6.9.2019 moduli, jolla hyökkääjä voi suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä. Haavoittuvuutta tiedetään hyväksikäytettävän maailmalla, tästä on raportoinut esimerkiksi Australian Cyber Security Centre (ACSC) 12.8.2019. Lisätietoa esimerkkikoodista löytyy mm. oheisesta artikkelista. Metasploit-modulin julkitulo luultavasti lisää haavoittuvuuden hyväksikäyttöyrityksiä.

Suosittelemme haavoittuvien järjestelmien välitöntä päivittämistä tai muita suojauskeinoja. Metasploit-työkalun kehittäjät kehottavat välttämään tietoliikenneyhteyksien automaattista katkaisua, jos hyväksikäyttökoodi havaitaan verkkoliikenteessä, sillä yhteyden odottamaton katkeaminen voi johtaa kohdejärjestelmän kaatumiseen. RDP-yhteydet haavoittuviin järjestelmiin kannattaa estää kokonaan esimerkiksi palomuurisäännöillä.

Haavoittuvuuden kohde

Seuraavat Windows -käyttöjärjestelmän versiot ovat haavoittuvia:

Windows 7
Windows 2003
Windows XP
Windows Server 2008

CVE-2019-0708 -haavoittuvuutta ei ole uudemmissa Windowsin (kuten 10) tai Windows Serverin versioissa.

Mistä on kysymys?

Korjaava ohjelmistopäivitys. Huomaa, että vanhempiin Windows versioihin (2003 ja XP) päivitystä ei saa automaattisesti WSUS:n kautta, vaan se pitää hakea manuaalisesti Microsotfin Update Catalog -sivuilta ja lisätä tarvittaessa WSUS:ään.
Estä palomuureissa Internetistä porttiin 3389 tuleva TCP-liikenne.
Poista RDP-palvelu käytöstä, mikäli sitä ei tarvita, kunnes haavoittuva järjestelmä on päivitetty.
Laita Network Level Authentication (NLA) päälle, mikäli käyttöjärjestelmä tukee sitä (Windows 7, Windows Server 2008, ja Windows Server 2008 R2). Tällöin hyökkääjän pitää tunnistautua RDS-palvelulle ennen mahdollisuutta hyödyntää haavoittuvuutta.
Mikäli laitteille on kuitenkin jostain syystä päästävä RDP:llä, salli yhteydet vain tietyistä IP-osoitteista (esim. VPN-putken läpi) ja/tai käytä sen yhteydessä monivaiheista tunnistautumista (multi-factor authentication, MFA).

Mitä voin tehdä?

Alert (AA19-168A): Microsoft Operating Systems BlueKeep Vulnerability https://www.us-cert.gov/ncas/alerts/AA19-168A
Prevent a worm by updating Remote Desktop Services (CVE-2019-0708) https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
CVE-2019-0708 Remote Desktop Services Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
Customer guidance for CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability: May 14, 2019 https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
Windows XP -tuen loppuminen aiheuttaa tietoturvariskejä yksityishenkilöille ja organisaatioille (03.2014) https://legacy.viestintavirasto.fi/attachments/Windows_XP_-tietoturvakatsaus.pdf
Description of the security update for the remote code execution vulnerability in Windows XP SP3, Windows Server 2003 SP2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 and Windows Embedded Standard 2009 https://support.microsoft.com/en-us/help/4500331/windows-update-kb4500331
Päivityspaketteja Windows XP:lle ja Server 2003:lle Microsoft Update Catalogissa https://www.catalog.update.microsoft.com/search.aspx?q=4500331
Microsoft Windows Remote Desktop Services CVE-2019-0708 Remote Code Execution Vulnerability https://www.securityfocus.com/bid/108273/
Critical Remote Code Execution Vulnerability CVE-2019-0708 Addressed in Patch Tuesday Updates https://www.tenable.com/blog/critical-remote-code-execution-vulnerability-cve-2019-0708-addressed-in-patch-tuesday-updates
CERT-EU:n neuvo 2019-013: https://media.cert.europa.eu/static/SecurityAdvisories/2019/CERT-EU-SA2019-013.pdf
McAfeen kuvaus haavoittuvuudesta ja sen hyväksikäytöstä: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/
https://www.welivesecurity.com/2019/05/22/patch-now-bluekeep-vulnerability/
https://isc.sans.edu/diary/rss/24960
ACSC:n ohjeet järjestelmien suojaamiseen: Australian Cyber Security Centre advises Windows users across Australia to protect against BlueKeep https://www.cyber.gov.au/news/protect-against-BlueKeep
Microsoftin Detection and Response Teamin (DART) ohjeet järjestelmien suojaamiseen: Protect against BlueKeep https://www.microsoft.com/security/blog/2019/08/08/protect-against-bluekeep/
UPDATE: ACSC confirms potential exploitation of BlueKeep vulnerability https://www.cyber.gov.au/news/update-acsc-confirms-potential-exploitation-bluekeep-vulnerability
Helppokäyttöinen hyväksikäyttökoodi on julkaistu Metasploit-modulina: Initial Metasploit Exploit Module for BlueKeep (CVE-2019-0708) https://blog.rapid7.com/2019/09/06/initial-metasploit-exploit-module-for-bluekeep-cve-2019-0708/

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.