Beheer

Security
Digitale dreiging

RDP’s terminale gevolgen voor security

Groot alarm: groot gat. In oudere technologie, die niet weg gaat, niet vanzelf.

© Pixabay CC0
5 juni 2019

Groot alarm: groot gat. In oudere technologie, die niet weg gaat, niet vanzelf.

Het Remote Desktop Protocol (RDP) is een nuttig stukje ICT, ontwikkeld door Microsoft om Windows’ bureaublad via netwerkverbindingen toegankelijk en bedienbaar te maken. Remote toegang dus, voor geauthenticeerde derden. Alleen blijkt er een bug (BlueKeep) te zijn die toegang geeft aan onbevoegde derden, en daarbij ook diepgaande systeemrechten blootstelt. Patchen of geheel uitschakelen is het dringende advies. Niet voor iedereen zó gedaan.

Een nieuwe maand, een nieuwe patchronde voor Microsoft-software. Afgelopen maand was daar een kritieke update bij voor een groot, gapend gat. Het gevaar daarvan is dermate groot dat Microsoft zelfs antieke Windows-versies voorziet van een openbare, gratis patch. Daarmee is het gevaar niet geweken, nog lang niet.

Omgeving en doel

De kous is namelijk met het uitbrengen van een patch. Die moet dan wel geïnstalleerd worden. Dat is voor ICT-omgevingen bij grotere organisaties - al dan niet met bureaucratische procedures en processen - makkelijker gezegd dan gedaan. Beheerders hebben tijd nodig om te testen, in hun soms complexe omgevingen.

Maar ook na verloop van tijd (voor testen en implenteren) zijn actuele patchniveaus lang niet altijd realiteit. De praktijk heeft dit al vaak genoeg uitgewezen: genoeg nieuwe infecties door oudere malware die gebruik maakt van bekende bugs waar allang patches voor zijn. Zie maar het grote SMB-gat in Windows wat wereldwijd voor ransomware-infecties heeft gezorgd, en nog steeds zorgt. Dit dankzij diefstal van die 0-day plus bruikbare exploitcode ervoor bij de Amerikaanse inlichtingendienst NSA.

De hierdoor mogelijk gemaakte ransomware WannaCry is net iets meer dan twee jaar geleden opgedoken en heeft wereldwijd toegeslagen. Ondanks kritieke noodpatches die Microsoft toen snel heeft uitgebracht, vormen WannaCry en het daardoor misbruikte gat in filesharing-protocol SMB nog altijd een gevaar. Afgelopen maand kon Ars Technica berichten dat servers bij honderden Amerikaanse scholen nog altijd niet zijn gepatcht hiertegen. Een gedeeltelijke oorzaak hiervoor was dat copier/scanners van Ricoh en HP alleen SMB1 ondersteunen, wat dus kwetsbaar maakt.

Kleiner én groter gevaar

Nu met het gat in RDP dreigt eenzelfde scenario als toen met het SMB-gat, hoewel mogelijk minder wijdverbreid qua aantallen directe infecties. Tegenover die relativering staat echter weer slecht nieuws. Enerzijds doet RDP dienst bij organisaties en op systemen die interessanter zijn voor cybercriminelen en statelijke actoren dan gewone, willekeurige pc’s en servers.

Anderzijds geeft de BlueKeep-kwetsbaarheid meerdere aanvalsmogelijkheden, die interessant of zeer interessant zijn voor kwaadwillenden. Zo zijn Windows-systemen waarop RDP draait, lam te leggen of vergaand te hacken. Misbruik van de bug kan vastlopers (BSOD’s, blue screens of death) veroorzaken, maar kan bij betere aanvalscode ook de macht geven om eigen code te laten uitvoeren.

Dieper dan admin

Dit alles dus op afstand en zonder dat er authenticatie vereist is of een handeling door een lokale gebruiker. Bovendien kan deze remote code execution (RCE) gebeuren op diepgaand Windows-niveau, met rechten die verder gaan dan die van gewone admins. De uit te voeren code draait namelijk in de context van het gebruikersaccount NT Authority\SYSTEM. Bovendien zou het kinderspel zijn om dit te bereiken.

Simpelweg verbinding maken met een RDP-systeem volstaat. Weliswaar moet een aanvaller daarvoor de BlueKeep-bug doorgronden en een speciaal RDP-verzoek afvuren op het kwetsbare doelwit. Die vereisten voor het inzetten van een BlueKeep-aanval blijken echter lang niet zo lastig te zijn als ze wellicht lijken.

Zó gedaan

De benodigde expertise voor hackers om bruikbare BlueKeep-exploitcode te maken, zou zelfs ronduit meevallen. Beveiligingsonderzoeker en pentester Ryan Hanson van security-consultancy Atredis heeft naar eigen zeggen weinig kaas gegeten van misbruik op kernelniveau, maar heeft desondanks betrouwbare exploitcode gemaakt. Op Windows 7 en Server 2008 kan hij op afstand code naar keuze uitvoeren. “Nu begrijp ik waarom MSRC [het Microsoft Security Response Center - red.] CVE-2019-0708 zo gevaarlijk vindt”, tweet hij.

Een andere security-onderzoeker, die wereldberoemd is geworden doordat hij ransomware WannaCry wist te stoppen, heeft op eigen houtje ook werkende exploitcode voor BlueKeep ontwikkeld. “Ik heb kernel-exploit dev-ervaring en ik was in staat om mijn weg te vinden door deze [kwetsbaarheid]”, tweet Marcus Hutchins (beter bekend als MalwareTech).

1 uur en 4 dagen

“Zonder dollen, het kostte me een uur om uit te vogelen hoe de kwetsbaarheid te misbruiken en 4 dagen om RDP te implementeren in Python”, aldus de Britse hacker. Hij heeft in de VS net schuld bekend voor het maken en verkopen van de beruchte banking malware Kronos in 2014. In het geval van BlueKeep nu houdt hij zijn bevindingen onder de pet. Hetzelfde geldt voor diverse andere security-experts die zich op de RDP-kwetsbaarheid hebben gestort.

Onderzoekers van securitybedrijven als Kaspersky, Check Point, McAfee, en 0-days handelaar Zerodium zijn er ook elk in geslaagd om uiteenlopende PoC’s te maken. In het ene geval (Kaspersky’s PoC-code) geeft dat doelcomputers een vastloper (Blue Screen of Death, BSOD), in het andere geval de gevaarlijke mogelijkheid van code-uitvoering (de PoC’s van McAfee’s en Check Point).

RDP betekent ‘REALLY, Do Patch!’, aldus McAfee:

Het eerstgenoemde exploitscenario betekent dus DoS-aanvallen op ongepatchte systemen. Het tweede exploitscenario is nog wat ernstiger, want het maakt malware-infectie mogelijk wat ransomware, datadiefstal en andere cybercriminele activiteiten faciliteert. De verwachting is dan ook dat massaal misbruik niet lang op zich laat wachten.

Waarschuwingen

Microsoft heeft hier vorige maand al voor gewaarschuwd en de Amerikaanse inlichtingendienst NSA doet dat nu ook. Het feit dat de RDP-kwetsbaarheid valt te misbruiken zonder authenticatie en zonder gebruikershandelingen maakt volledig automatische werking én replicatie mogelijk. BlueKeep-malware kan dus in de gedaante van een worm zichzelf verder verspreiden, al dan niet in combinatie met exploitcode voor andere kwetsbaarheden voor ‘optimale werking’.

De NSA spreekt in zijn waarschuwende advisory van “toenemende dreigingen”, die het echter niet specificeert. “Dit is het type kwetsbaarheid dat kwaadwillende cyberactoren vaak misbruiken door middel van softwarecode die specifiek deze kwetsbaarheid op de korrel neemt”, luidt de wat vage mededeling.

Mogelijk dat de spionagedienst van de Verenigde Staten aanwijzingen heeft dat bepaalde cybercrimegroepen zich op RDP-doelwitten gaan storten, of dat bepaalde overheidsgelieerde hackeenheden van vijandelijke staten dit doen. Of mogelijk dat de NSA-boodschap om BlueKeep toch vooral te patchen voortkomt uit nabije dreiging van algemeen beschikbare exploitcode.

Patchpressie

"Het is waarschijnlijk slechts een kwestie van tijd voordat remote exploitation code voor deze kwetsbaarheid algemeen verkrijgbaar is", stelt de NSA wel. De Amerikaanse inlichtingendienst dringt er bij iedereen op aan “om de benodigde tijd en middelen te investeren om jouw netwerk te kennen en om ondersteunde besturingssystemen met de nieuwste patches te draaien”.

Senior cybersecurity-adviseur Rob Joyce van de NSA noemt BlueKeep een significant risico voor ongepatchte systemen:

Dit is kritiek voor niet alleen de NSA’s eigen missie om National Security Systems te beschermen, benadrukt de spionagedienst, maar voor alle netwerken. De NSA zet zelf dergelijke malwaremiddelen ook in om zijn internationale spionagewerk te kunnen verrichten. In de boodschap om vooral vlot te patchen, worden nog drie andere maatregelen aangedragen.

3 andere opties

Deze aanvullende maatregelen dienen om het gevaar van BlueKeep in te perken en om tijd te winnen; voor patchen en eventueel upgraden van systemen. Allereerst is er het voorkomen van RDP-toegang van buiten door TCP-poort 3389 te blokkeren op firewalls, en dan vooral voor firewalls die interne netwerken afschermen van het internet.

De tweede tip is het inschakelen van Network Level Authentication (NLA). Deze beveiligingsverbetering zorgt ervoor dat aanvallers valide credentials moeten hebben om eigen code op afstand uit te voeren op kwetsbare systemen. Het inschakelen van NLA wordt ook geadviseerd door andere security-onderzoekers die werkende exploitcode hebben weten te creëren.

De derde tip van de NSA - die ook door andere beveiligingsexperts wordt aangedragen - is de drastischere maatregel om RDP-services geheel uit te schakelen. Dit dan als die niet nodig zijn of als er een alternatieve technologie, methode of werkwijze is. “Het uitschakelen van ongebruikte of onnodige services helpt om blootstelling aan securitykwetsbaarheden in z’n algemeen te verminderen, en is een best practice zelfs zonder de dreiging van BlueKeep”, merkt de NSA op.

Prijsschieten

Microsoft benadrukt in zijn melding nog dat RDP zelf niet kwetsbaar is. De ontdekte kwetsbaarheid zit in de Remote Desktop Services, voorheen bekend als Terminal Services. Het gaat echter ook om de functionaliteit die hiervoor zit ingebakken in Windows, getuige het uitbrengen van patches voor clientuitvoeringen van Windows. Het zijn dus niet strikt alleen servers waarop RDS of Terminal Services draaien die vatbaar zijn.

Weliswaar is BlueKeep alleen van toepassing op oudere versies van Windows, het gaat daarbij wel om de veelgebruikte client- en serverreleases Windows 7, Windows Server 2008 en 2008 R2, plus Windows XP en Server 2003. Vele ICT-omgevingen wereldwijd bevatten nog machines met die besturingssystemen, of dat nu in grote in kleine aantallen is.

Dankzij de diepgaande SYSTEM-rechten die BlueKeep kan verschaffen, kunnen aanvallers via een kwetsbaar systeem zich ‘zijwaarts’ (lateral) bewegen naar andere computers. Voor het hacken van die andere systemen zijn dan wel weer andere kwetsbaarheden en exploitcode daarvoor nodig, maar het gebruik van meertrapsmiddelen is allang geen uitzondering meer.

Bovendien kunnen systemen bínnen netwerken relatief onbeschermd zijn, waar kwaadwillenden dan via het RDP-gat bij kunnen komen. Computers die dus naar buiten zijn afgeschermd, en dus veilig worden geacht voor externe dreigingen. Indirect kunnen die toch geïnfecteerd worden.

Plus gevaar van neppers

Ondertussen dreigt er nog een ander, acuter gevaar. De ontwikkeling van verschillende vormen van proof-of-concept code staat niet gelijk aan publieke release daarvan, maar er is sprake van wel enkele gevallen van openbare code. Dat is op zich al gevaarlijk, maar enkele cybercriminelen zijn hier sluw op ingesprongen.

Zij hebben zogenaamde exploitcode online gepost waarin dan malware verstopt zit. Nieuwsgierige of bezorgde beheerders en developers die zich aan PoC-code wagen om kwetsbaarheid van hun systemen in te schatten, lopen daarmee juist risico. Bovendien is het door deze neppers lastig om de ware PoC’s te vinden. “Security door obscurity wijst nog altijd de weg in 2019”, merkt ‘WannaCry-held’ MalwareTech cynisch op.

RDP-scans

De factor van obscuriteit gaat helaas niet op voor RDP zelf. Uit online-scans komt naar voren dat het Microsoft-protocol voor toegang-op-afstand in aanzienlijke aantallen aanwezig is. Dit betreft dan RDP openstaand naar internet toe, wat natuurlijk een kleiner aantal is dan het totaal aan systemen die RDP-services draaien. Security-onderzoeker Rob Graham van Errata Security heeft zo’n 900.000 van zulke machines gevonden met zijn RDP-scantool.

Een initiële scan in de gespecialiseerde zoekmachine Binary Edge baart zorgen. Een zoekopdracht naar RDP-servers levert indrukwekkende aantallen op, meldt CEO Tiago Heriques van Binary Edge. Ook andere scans showen potentiële doelwitten van enkele miljoenen machines. Bovendien bevinden die computers zich bij interessante organisaties zoals het Network Information Center van het Amerikaanse ministerie van Defensie, Air Force Systems Networking in China, en diverse grote ICT-bedrijven als Google, Amazon, Tencent, Baidu en Alibaba.

Daarnaast is er nog ander scangedrag waargenomen. Een week geleden is al intense scanactiviteit door een anonieme bron gedetecteerd. Deze waarschijnlijk kwaadaardige scanner heeft zijn BlueKeep-verkenning uitgevoerd vanaf het anonimiseringsnetwerk Tor, wist ZDnet te melden. Interesse in RDP is er dus van verschillende kanten: goed en kwaad. Binnenkort volgt ongetwijfeld actie, vast van kwaad en hopelijk ook van goed. Anders kan RDP wel eens terminale gevolgen hebben.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.