Kritisk sårbarhet i Microsoft Remote Service (RDS) i vissa Windows-versioner

Microsoft har släppt ut säkerhetsuppdateringar för kritiska sårbarheter i RDS-tjänsten i operativsystem som inte längre har support. De är Windows 7, Windows Server 2008 och 2008 R2, Windows 2003 och Windows XP. Sårbarheterna möjliggör exekvering av skadlig kod som sprider sig i form av internetmaskar.

RDS var tidigare känd som Terminal Service. En angripare kan utnyttja sårbarheten genom att exekvera godtycklig kod i systemet efter att ha skickat en speciellt utformad begäran till RDP. Detta är möjligt före inloggning på RDP-tjänsten och angriparen kan utnyttja sårbarheten utan användarens (offrets) medverkan. Genom att utnyttja sårbarheten går det att automatisera spridandet av maskar.

Mask är ett skadligt datorprogram som sprider sig från en sårbar apparat till en annan utan åtgärder av användaren.

Mer information om ämnet finns i Microsofts blogg, i sårbarhetsmeddelandet CVE-2019-0708 samt i uppdateringsanvisningar.

Det finns exempelkod som utnyttjar sårbarheten. En modul har publicerats i populär intrångstestverktyg Metasploit den 6.9.2019. Med modulen kan en angripare exekvera egen programmkod i en objektsystem. Sårbarheten har utnyttjats i världen. Till exempel Australian Cyber Security Centre (ACSC) har reporterat om det den 12.8.2019. Mera information om exempelkod kan läsas till exempel i Bleeping computer's artikel. Publicering av Metasploit modulen troligen ökar försökningar att utnyttja sårbarheten.

Vi rekommenderar att omedelbart uppdatera sårbara systemer eller att genomföra andra skyddmetoder. Metasploits utvecklare rekommenderar att undvika automatisk avbrytning av datatrafik om kod som utnyttjar sårbarheten observeras i trafiken, eftersom det kan krascha objektsystemet. Det är bättre att förhindra RDP förbindelser till sårbara system med hjälp av en brandvägg.

Föremål for sårbarhet

Följande versioner av Windows-operativsystemet är sårbara:

Windows 7
Windows 2003
Windows XP
Windows Server 2008

Sårbarheten CVE-2019-0708 finns inte i nyare versioner av Windows (t.ex. 10) eller Windows Server.

Vad handlar det om?

Korrigerande programuppdatering. Beakta att det inte är möjligt att få en automatisk uppdatering till äldre versioner av Windows (2003 och XP) via WSUS utan man ska hämta uppdateringen manuellt från Microsoft Update Catalog och vid behov lägga till den i WSUS.
Slå av RDP-tjänsterna om de inte behövs.
Använd Network Level Authentication (NLS) om operativsystemet stöder den (Windows 7, Windows Server 2008 och Windows Server 2008 R2). För att kunna utnyttja sårbarheten måste angriparen då identifiera sig i RDS-tjänsten.
I brandväggar blockera TCP-trafik från internet till port 3389.

Vad kan jag göra?

Alert (AA19-168A): Microsoft Operating Systems BlueKeep Vulnerability https://www.us-cert.gov/ncas/alerts/AA19-168A
Prevent a worm by updating Remote Desktop Services (CVE-2019-0708) https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
CVE-2019-0708 Remote Desktop Services Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
Customer guidance for CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability: May 14, 2019 https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
Windows XP -tuen loppuminen aiheuttaa tietoturvariskejä yksityishenkilöille ja organisaatioille (03.2014) https://legacy.viestintavirasto.fi/attachments/Windows_XP_-tietoturvakatsaus.pdf
Description of the security update for the remote code execution vulnerability in Windows XP SP3, Windows Server 2003 SP2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 and Windows Embedded Standard 2009 https://support.microsoft.com/en-us/help/4500331/windows-update-kb4500331
Uppdateringspaketer för Windows XP och Server 2003 i Microsoft Update Catalog https://www.catalog.update.microsoft.com/search.aspx?q=4500331
Microsoft Windows Remote Desktop Services CVE-2019-0708 Remote Code Execution Vulnerability https://www.securityfocus.com/bid/108273/
Critical Remote Code Execution Vulnerability CVE-2019-0708 Addressed in Patch Tuesday Updates https://www.tenable.com/blog/critical-remote-code-execution-vulnerability-cve-2019-0708-addressed-in-patch-tuesday-updates
CERT-EU advisory 2019-013: https://media.cert.europa.eu/static/SecurityAdvisories/2019/CERT-EU-SA2019-013.pdf
McAfee blog: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/
https://www.welivesecurity.com/2019/05/22/patch-now-bluekeep-vulnerability/
https://isc.sans.edu/diary/rss/24960
ACSC:s skyddsanvisningar: Australian Cyber Security Centre advises Windows users across Australia to protect against BlueKeep https://www.cyber.gov.au/news/protect-against-BlueKeep
Microsofts Detection and Response Teams (DART) skyddsanvisningar: Protect against BlueKeep https://www.microsoft.com/security/blog/2019/08/08/protect-against-bluekeep/
UPDATE: ACSC confirms potential exploitation of BlueKeep vulnerability https://www.cyber.gov.au/news/update-acsc-confirms-potential-exploitation-bluekeep-vulnerability
Initial Metasploit Exploit Module for BlueKeep (CVE-2019-0708) https://blog.rapid7.com/2019/09/06/initial-metasploit-exploit-module-for-bluekeep-cve-2019-0708/

Arbetsstationer och slutanvändarapplikationer

Sårbarheter i arbetsstationer och applikationer för vanliga användare gäller ofta en hel del användare. Målet kan vara Windows-operativsystemet eller ett textbehandlingsprogram. Skillnaden mellan serverapplikationer och slutanvändarapplikationer är ibland liten, då det är möjligt att använda samma operativsystem både i servern och i arbetsstationen.

Inbyggda system

En utrustning och programmet i den bildar tillsammans ett inbyggt system. Ganska många utrustningar som konsumenterna använder kan anses vara inbyggda system. Ett exempel är en digitalbox som behövs för att kunna titta på digitala tv-sändningar.

Servrar och serverapplikationer

Sårbarheter i servrar och serverprogram gäller till exempel leverantörer av elektroniska tjänster. Typiska mål är operativsystem för servrar och www- eller e-postserverprogram, till exempel SunOS, Linux, Apache, IIS eller Sendmail.

På distans

En attack kan göras på distans via en nätverksanslutning eller motsvarande utan att själv komma till målsystemet.

Utan användarens medverkan

En attack som görs utan användarens medverkan riktar sig direkt till sårbarheten utan att användaren av systemet bidrar till att attacken ska lyckas. Användaren behöver till exempel inte bläddra i www-sidor eller starta ett program på datorn, utan attacken lyckas utan användarens hjälp.

Utan inloggning

Attacken kräver inte inloggning i målsystemet. En motsats är attacker som kräver användarnamn och lösenord och till exempel exekvering av kommandon då man är inloggad.

Exekvering av godtyckliga kommandon

En sårbarhet som gör det möjligt att köra godtyckliga kommandon kan anses vara allvarlig, då det betyder att den som utnyttjar sårbarheten kan använda målsystemet på samma sätt som den vanliga användaren. Det kan också leda till att angriparen som har trängt sig in i systemet via nätet kan ladda upp egna program för exekvering.

Att förbigå säkerheten

Syftet med blockeringsattacken är att förhindra att målsystemet fungerar så som det är avsett för. Syftet med attacken kan till exempel vara att överbelasta en www- eller e-postserver med en stor mängd nätverkstrafik.

Modifiering av uppgifter

Modifiering av uppgifter som sparats i systemet förutsätter nödvändigtvis inte exekvering av kommandon, utvidgning av behörigheter eller inloggning i systemet. Genom att utnyttja till exempel en sårbarhet i ett www-serverprogram kan angriparen utan tillstånd ändra innehållet i de webbsidor som man ser på servern.

Anskaffning av konfidentiell information

Anskaffning av konfidentiell information från målsystemet förutsätter att systemets datainnehåll, till exempel filer sparade på hårddisken, kan läsas utan tillstånd och förmedlas vidare.

För kriminell användning

<p>Sårbarhet ligger i kriminell användning</p>

Exempelkod som åskådliggör sårbarheten

Korrigerande programuppdatering

En program- eller utrustningstillverkare offentliggör i allmänhet snart en ny version eller en partiell uppdatering av programmet eller operativsystemet efter det att sårbarheten blivit känd. Uppdateringen kan finnas tillgänglig samtidigt som sårbarheten offentliggörs, men ofta får man vänta ett tag.

Problembegränsning

Även om en korrigering till sårbarheten inte alltid finns tillgänglig, kan sårbarhetens verkningar oftast begränsas till exempel genom att tillfälligt avstå från att använda en viss egenskap eller genom att begränsa nätverkstrafik till målsystemet på ett lämpligt sätt.