Windows RDP漏洞BlueKeep攻擊,4天就寫出PoC攻擊程式、成功開採者可於遠端執行任意程式碼、安裝惡意程式

Windows RDP漏洞PoC攻擊程式問世,疑似有駭客開始掃瞄

微軟在兩周前公佈Windows RDP協定重大漏洞後,安全專家發現(5月27日)已經有駭客開始大規模掃瞄網路上有漏洞的Windows系統,顯示可能發動攻擊。而多家安全廠商也製作出概念驗證攻擊程式。

編號CVE-2019-0708的漏洞存在於舊版Windows遠端桌面服務(Remote Desktop Service,RDS)中,本漏洞可使未授權攻擊者得以利用RDP連上目標系統傳送惡意呼叫。成功開採者可於遠端執行任意程式碼、安裝惡意程式、讀取或刪改資料、或新開具完整權限的用戶帳號。

本漏洞的CVSS Score v3風險評分皆為重大等級的9.8分(滿分10分),微軟強烈建議用戶應儘速安裝修補程式。除了Windows 8和Windows 10系統外,從Windows XP及Server 2003,到Windows 7、Windows Server 2008 及2008 R2都受影響,微軟還例外對XP及Server 2003釋出修補程式。這項漏洞也被稱為BlueKeep。

雖然微軟說尚未看到有攻擊情形,不過安全廠商GreyNoise本周發現網路上有數十臺主機,針對BlueKeep漏洞進行大規模掃瞄。安全公司觀察到掃瞄行動全是來自Tor網路的出口節點,判斷是由單一組織或人士所為。

GreyNoise創辦人Andrew Morris對此指出,他相信攻擊者用的是滲透測試工具Metasploit模組來掃瞄BlueKeep漏洞主機。雖然掃瞄不代表一定是攻擊行動,但這極可能是駭客攻擊的前兆。

在此之前,已經有卡巴斯基、McAfee及CheckPoint等安全廠商,宣稱已經開發出BlueKeep的概念驗證(PoC,Proof of Concept)攻擊工具。主持MalwareTech的資安研究人員(及前駭客)Marcus Hutchins也表示,他只花了一小時搞清楚怎麼攻擊,4天就寫出PoC攻擊程式。安全公司也呼籲用戶及早安裝修補程式。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

百萬台系統曝險,美國安局呼籲舊版Windows用戶修補BlueKeep漏洞

五月中微軟發佈安全公告,警告舊版Windows遠端桌面服務(Remote Desktop Service, RDS)存在重大遠端程式碼執行漏洞BlueKeep,二度催促用戶升級。本周美國國安局(NSA)也罕見呼籲電腦用戶儘速安裝修補程式。

編號CVE-2019-0708的漏洞又被稱為BlueKeep,存在於XP到Windows 7、Server 2008到2013等舊版Windows中。它允許未授權攻擊者利用RDP連上目標系統,傳送惡意呼叫。成功開採者可於遠端執行任意程式碼、安裝惡意程式、讀取或刪改資料、或新開管理員權限帳號,有引發類似WannaCry或NotPetya等級災難的可能性。

NSA指出,BlueKeep是駭客經常以攻擊程式碼開採的目標,它可能被用來進行阻斷服務(DoS)攻擊,而遠端攻擊程式出現只是時間早晚的問題。NSA擔心駭客會以勒索軟體或包含其他攻擊程式的軟體套件來開採這項漏洞,增加破壞威力。

上周安全業者Errata Security統計,網路上還有超過92萬台系統仍然還有BlueKeep漏洞,促使微軟第二度發出漏洞修補的呼籲。安全廠商GreyNoise偵測到已經有駭客開始大規模掃瞄網路上有漏洞的Windows系統,顯示可能發動攻擊。而多家安全廠商也製作出概念驗證攻擊程式。

除了下載安裝微軟釋出的修補程式外,NSA也建議企業用戶封鎖防火牆、特別是面對網際網路的TCP Port 3389來封鎖RDP(remote desktop protocol)協定連線、開啟網路層驗證防止遠端程式碼執行、非必要時關閉遠端桌面服務。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

Windows 10 RDP漏洞可讓駭客綁架連線

卡內基大學的CERT協同中心本周警告新版本Windows 10的遠端桌面協定(Remote Desktop Protocol, RDP)出現漏洞,可能使遠端桌面連線遭攻擊者劫持。

編號CVE-2019-9510的漏洞,出現在Windows 10 RDP用戶端使用網路層級驗證(Network Level Authentication,NLA)。NLA原是為了減少RDP連線系統曝險而設計。當啟動Windows RDP連線,連線會被鎖定並在用戶端會出現驗證視窗,直到使用者通過驗證才能連線。

但是Windows 10 1803和Server 2019之後的新版本中,NLA RDP連線的處理過程變更過,因而出現本漏洞。網路異常導致RDP連線暫時中斷,等網路連線恢復、RDP重置時會回到未鎖定狀態,而非應有的驗證碼輸入視窗。攻擊者只要干擾RDP用戶端的網路連線,即可在此時存取RDP用戶端而不需輸入任何驗證帳密。研究人員相信,整合Windows登入視窗的雙因素驗證(2FA)系統,如Duo Security MFA也可用這個方法繞過,甚至企業實行的任何登入驗證都可因此繞過。

CERT/CC認為,這個漏洞除了當事人微軟著手修補之外,目前沒有其他解法。所幸這類駭入方法需要駭客干擾網路連線,因此RDP系統被大規模攻擊的機率很小。在研究人員通知微軟後,微軟評估未達風險層級,短期內也不打算修補。

不過研究人員仍然建議,為杜絕任何風險,使用者應鎖定本機系統(而非遠端系統),同時非必要時應切斷RDP連線,而不只是鎖定而已。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

Sophos:小心!駭客利用遠端存取把勒索軟體送到你家

許多資安廠商都在年度報告裡,提到所謂的無檔案式(Fileless)攻擊,不少資安專家更一步,因駭客利用企業環境內的現成工具,將這種手法稱為就地取材(Living off the Land,LoL)。其中,企業內部普遍存在而遭到駭客大肆濫用的工具,一般會先被提及的是PowerShell。不過,遠端桌面存取協定(RDP)廣受攻擊者運用的現象,其實也相當需要加以防範,於6月4日舉行的Sophos全球巡迴研討會臺北場活動裡,Sophos技術經理林子涵特別提出他們的發現。

林子涵指出,近年來許多企業資安防護的重點,可能聚焦在於因應勒索軟體上,使得這種攻擊的態勢稍微趨於緩和。但是,基於綁架企業的資料仍然有利可圖等因素,使得現在的勒索軟體攻擊事件裡,駭客鎖定企業為目標比例大幅攀升,而值得留意的是,在這種針對性的攻擊中,遠端桌面存取協定竟是攻擊者散播勒索軟體的主要途徑。

在前面提到的遠端桌面存取協定之外,林子涵也表示,另外一款雖然在Windows作業系統沒有內建,但廣受管理者採用的遠端存取命令列工具PsExec,同樣成為時下攻擊者濫用的對象。因此,林子涵認為,企業應該要嚴加控管這種遠端存取的措施,甚至是在沒有使用的時候,停用相關功能。

勒索軟體攻擊鎖定企業,遠端桌面存取竟成幫兇

林子涵提到,縱使去年勒索軟體攻擊的事件數量,已經開始出現下降的情勢,但對於企業來說,還是存在一定程度的威脅。根據Sophos實驗室對於2,700名IT主管的訪查,半數以上的企業遭遇過勒索軟體攻擊,蒙受損失的金額中位數為13萬3千美元──這樣的金額相當於4輛轎車,對於許多公司而言也許不算龐大,相較於遭到勒索的資料重要性來說,就可能選擇支付贖金了事,使得歹徒有機可乘。

這樣的現象使得駭客食髓之味,林子涵指出,去年在美國大肆爆發的勒索軟體SamSam,散布的管道就是遠端桌面存取協定,而且,這樣的現象還廣泛出現在其他的勒索軟體中,包含了BitPaymer、Ryuk、Dharma,以及GandCrab等,值得注意的是,其中GandCrab並非專門鎖定企業的勒索軟體,卻也同樣採用了這樣的滲透機制,顯示相關手法已是當今勒索軟體攻擊過程裡,極為普遍的做法。

這幾年來運用有關遠端存取措施的攻擊事件,其實有跡可循,在2017年底,繼WannaCry之後出現的變種NotPetya勒索軟體,其擴散的途徑,就是經由遠端執行工具PsExec,這是一款企業網管人員常用的命令列軟體。

林子涵舉出微軟近期的重大修補事件,同樣突顯遠端桌面存取協定遭到濫用的嚴重性,那就是BlueKeep漏洞(CVE-2019-0708),該公司在WannaCry攻擊事件後,針對已經終止支援的Windows XP與Server 2003,二度提供修補軟體,原因就是避免類似WannaCry大規模擴散的情況發生。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏