Niedawno pisaliśmy o podatnościach w systemach ICS a tymczasem w zeszłym tygodniu Internet zalała kolejna fala informacji. Tym razem o BlueKeep czyli luce w systemach Windows 7, XP oraz Server 2003 i 2008. O tym jak sprawa jest poważna świadczy zachowanie Microsoft, który zdecydował się na wdrożenie poprawek nawet do niewspieranych już systemów. Wspomniana podatność umożliwia przeprowadzenie ataku DDoS lub z wykorzystanie wirusa ransomware. Jest też groźna ze względu na możliwość rozprzestrzeniania się z jednego komputera na kolejne podłączone do sieci. To nasuwa skojarzenia z atakami sprzed dwóch lat, gdzie w podobny sposób wirus Wanna Cry zdominował świat. Czy wgranie aktualizacji pozwoli zapomnieć o niebezpieczeństwie? Okazuje się, że sprawa z BlueKeep ma co najmniej podwójne dno, pod którym kryje się… botnet GoldBrute.

Luka, o której (prawie) wszyscy wiedzieli

Podatność BlueKeep czyli CVE-2019-0708 pozwala na zdalne uruchomienie dowolnego skryptu na komputerze ofiary z uprawnieniami administratora. Informacje o niej na stronie Microsoftu pojawiły się już 14 maja 2019, jednakże dopiero pojawienie się w sieci exploita spotęgowało zainteresowanie. Ponieważ społeczność hakerów dzieli się informacjami bardzo szybko, pojawił się globalny strach o powtórkę z maja 2017 czyli atak ransomware Wanna Cry. Oczywiście, informacja o BlueKeep obiegła już świat a portale prześcigają się w publikowaniu porad o zachowaniu bezpieczeństwa. Niestety, okazuje się, że nie wszystkie luki zostały załatane. Specjaliści z Międzynarodowego Instytutu Bezpieczeństwa Cybernetycznego (IICS) opublikowali raport opisujący nową niekorygowaną lukę w protokole Microsoft Windows Remote Desktop Protocol (RDP). Luka ta, określona jako CVE-2019-9510, może pozwolić atakującym po stronie klienta na ominięcie ekranu blokady w sesjach pulpitu zdalnego.

Exploit to dedykowany program, mający na celu wykorzystanie słabych punktów systemu – w tym przypadku protokołu RDP

W systemach Windows funkcja Pulpitu Zdalnego wymaga od użytkownika logowania za pomocą Network Level Authentication czyli podania swoich poświadczeń, których używa do pozostałych usług Windows. Jest to zabezpieczenie, które ma na celu zidentyfikowanie kto (klient) i z czym (serwer) chce się łączyć. Problem pojawia się w momencie, gdy błąd sieciowy spowoduje chwilowe rozłączenie z sesją RDP. Jeśli bowiem klient był połączony z serwerem, ale ekran główny został zablokowany, po ponownym połączeniu sesja RDP zostanie przywrócona z pominięciem ekranu blokady. Jak można to wykorzystać?

Gotowy scenariusz ataku

Okazuje się, że bardzo prosto, ponieważ atakujący wymaga jedynie przerwania połączenia sieciowego w systemie docelowym. Z drugiej strony, powodzenie ataku zależy od tego, czy udało się uzyskać fizyczny dostęp do serwera. Teoretycznie zasięg działania jest ograniczony… Niestety, podczas koncentracji na jednym, za naszymi plecami powstaje dużo bardziej niebezpieczne zagrożenie. Pojawił się botnet, który w ciągu ostatnich kilku dni próbował wymusić ponad 1,5 miliona połączeń RDP z systemami Windows za pomocą techniki brute force*. Według Morpheus Labs kilka dni temu GoldBrute, nazwany na cześć klasy Java, z której korzysta, zwiększył aktywność. Botnet aktywnie skanuje Internet w poszukiwaniu komputerów z „odsłoniętym” RDP i wypróbowuje hasła. W ten sposób sprawdza, czy może uzyskać dostęp do systemów.

Morpheus Labs informował już w czwartek o narastającym zagrożeniu. „Po sześciu godzinach otrzymaliśmy 2,1 miliona adresów IP z serwera, z których 1 596 571 jest unikalnych”. Nie znamy na ten moment skali zjawiska. Zdalny pulpit wykorzystują technicy i administratorzy IT do połączeń z komputerami zwykłych pracowników ale i serwerami, zwłaszcza specjalnego przeznaczenia. W wielu środowiskach praca z protokołem RDP wymaga podniesionych uprawnień. Gdy atakujący ma dostęp do połączenia, ma również dostęp do pulpitu Windows i może działać tak, jak uprzywilejowany użytkownik. Zainfekowanie całej sieci złośliwym oprogramowaniem, kradzież informacji lub atak DDoS to tylko część arsenału jakim włada GoldBrute.

Zasięg GoldBrute, dane z 07.06.2019, źródło: Threatpost

GoldBrute jest sterowany z pojedynczego serwera Command & Control (C2) i teoretycznie mógłby stanowić samodzielne centrum dowodzenia atakami. Jak podają źródła, C2 wymienia dane z botami poprzez zaszyfrowane algorytmem AES połączenia WebSocket z portem 8333. Zainfekowany system otrzymuje instrukcje pobrania kodu bota (pakietem 80 MB z kompletnym Java Runtime). Następnie rozpoczyna skanowanie losowych adresów IP w celu znalezienia większej liczby podobnych ofiar i raportowanie ich adresów IP z powrotem do C2. Jak dalej relacjonuje Threatpost: „Po tym, jak bot zgłosi 80 nowych ofiar, serwer C2 przypisze ich zestaw do ataku typu brute force. Oznacza to, że każdy bot spróbuje tylko jednej konkretnej nazwy użytkownika i hasła dla każdego adresu”. Ponieważ każda próba uwierzytelnienia pochodzi z różnych adresów, utrudnia to demaskację sprawców.

GoldBrute jeszcze gorszy niż Wanna Cry?

Otwarte ostrzeżenie potencjalnych ofiar czyli użytkowników Windows przed luką, spowodowało również reakcję po drugiej stronie. Eksperci z Duo Security wskazują, że GoldBrute ma o wiele łatwiejszą drogę niż Wanna Cry. „Większość aktywności skanowania w RDP nie jest związana z BlueKeep. Atakujący mogą po prostu ominąć zablokowane ekrany lub odgadnąć słabe hasła, jakie są używane do nawiązywania połączeń zdalnych”. Zdając sobie z tego sprawę, warto pomyśleć o zabezpieczeniach. Działy IT powinny zweryfikować, czy dostęp zdalny do serwerów organizacji nie jest zbyt szeroko eksponowany. Dobrym pomysłem jest umieszczenie warstwy pośredniej, takiej jak VPN oraz przeszkolenie użytkowników, aby prawidłowo nawiązywali połączenia.

Zasięg ransomware Wanna Cry w 2017 r.

Według Tech Republic Wanna Cry wciąż dokonuje 3500 udanych ataków co godzinę. Powodem dla którego tak się dzieje, jest ogromna liczba urządzeń pracujących pod niezałatanymi systemami Windows. Wg ich danych liczba aktywnie wykorzystywanych przestarzałych instalacji Windows przekracza 60%. „Istnieją operacyjne powody, aby trzymać się starych i nieobsługiwanych urządzeń Windows. Zakłady przemysłowe często polegają na urządzeniach HMI sterujących linią produkcyjną fabryki. Działają one na niestandardowym sprzęcie lub używają przestarzałego oprogramowania, nie przystosowanego nawet do poprawek. W służbie zdrowia wiele urządzeń medycznych opiera się na przestarzałych wersjach systemu Windows i nie można ich zaktualizować bez całkowitej przebudowy infrastruktury IT.

Security Boulevard pisze o milionie urządzeń zawierających podatności BlueKeep i będących potencjalną ofiarą botneta GoldBrute. W połączeniu z informacją o dalszej aktywności Wanna Cry, przyszłość nie rysuje się kolorowo. Pamiętajmy też, że są to dane ogólnoświatowe. Możemy się domyśleć, że sytuacja w naszym kraju nie wygląda lepiej. Wręcz wydaje się, że może być gorzej – przestarzałe systemy są w Polsce wykorzystywane na masową skalę. Nie tylko we wspomnianych sektorach, ale również i w administracji publicznej, szkolnictwie i w przedsiębiorstwach. Niestety, prawdopodobnie nie wszyscy zdążą z aktualizacją na czas…

Spragniony źródeł, głodny wiedzy? Częstuj się

https://threatpost.com/bluekeep-mega-worm-looms-as-fresh-poc-shows-full-system-takeover/145368

https://www.securitynewspaper.com/2019/06/05/new-vulnerability-in-windows-rdp-bluekeep-patch-is-not-working

https://www.techrepublic.com/article/how-wannacry-is-still-launching-3500-successful-attacks-per-hour/

https://threatpost.com/forget-bluekeep-beware-goldbrute/145482/

https://securityboulevard.com/2019/05/almost-one-million-vulnerable-to-bluekeep-vuln-cve-2019-0708/

* Przypomnijmy – brute force to atak, w którym wykorzystywana jest losowa kombinacja znaków w celu odgadnięcia hasła i uzyskania dostępu. Skuteczność ataku opiera się na bombardowaniu próbami uwierzytelniania aż do skutku – do odgadnięcia prawidłowego hasła.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *