Es hora de desconectar RDP de internet


Los ataques de fuerza bruta y BlueKeep explotan la conveniencia usurpadora de las conexiones RDP directas; ESET lanza una herramienta para probar sus máquinas con Windows en busca de versiones vulnerables

Mientras que el BlueKeep (CVE-2019-0708) la vulnerabilidad no ha causado, hasta la fecha, un caos generalizado, y analizaremos las razones por las cuales, en esta publicación, todavía es muy temprano en su ciclo de vida de explotación. El hecho es que muchos sistemas aún no están parcheados, y wormable Todavía se puede encontrar la versión del exploit. Debido a estos factores, ESET ha creado una utilidad gratuita para verificar si un sistema es vulnerable.

A veces, tienes que decir algo sobre cosas que "son obvias" y parece que la mejor manera de comenzar esta publicación es mencionar eso, porque este no es un tema sobre el que esperaba tener que escribir hoy en día. Antes de sumergirnos, comencemos mirando una vieja máxima.

Hay un viejo dicho en el campo de la seguridad de la información que dice que si un adversario tiene acceso físico a su computadora, ya no es su computadora. La razón de esto es bastante simple: una vez que los atacantes tienen en sus manos una computadora, pueden cambiar lo que quieran. Instalar dispositivos como registradores de teclas de hardware, quitar unidades de disco y copiarlos, y de lo contrario eliminar, alterar o agregar todo lo que quieran en el sistema, todo se vuelve exponencialmente más fácil cuando puedes caminar directamente hacia la computadora. Este no es un giro de los acontecimientos particularmente sorprendente, ni uno particularmente inteligente. Más bien, es una verdad inevitable. Para los adversarios, es solo parte de la descripción de su trabajo.

Sin embargo, las empresas y las escuelas y todo tipo de organizaciones no están ciegas a esto. Ninguno de estos tipos de lugares coloca sus servidores en la recepción en el vestíbulo, área de recepción, centro de visitantes, sala de espera u otros lugares donde el público o, posiblemente, cualquier empleado, facultad, estudiante o personal pueden ingresar y obtener acceso físico a ellos O, al menos, ningún negocio que quiera permanecer en el negocio lo permite. Por lo general, hay una cierta separación de los servidores, ya sea que se encuentren en su propia sala dedicada o incluso en un rincón escondido que está fuera del alcance de la mayoría del personal.

Sin embargo, a pesar de todo este conocimiento común, las lecciones aprendidas sobre la seguridad en el mundo físico no siempre se transfieren bien (o correctamente) al mundo de Internet. Hay una gran cantidad de servidores que ejecutan varias versiones de los sistemas operativos del servidor Microsoft Windows que están directamente conectados a Internet, lo que representa poca o ninguna seguridad práctica sobre quién puede acceder a ellos. Y eso nos lleva a la discusión de RDP.

¿Qué es el PDR?

RDP, abreviatura de Remote Desktop Protocol, permite que una computadora se conecte a otra computadora a través de una red para usarla de forma remota. En un dominio, las computadoras que ejecutan un sistema operativo Windows Client, como Windows XP o Windows 10, vienen con un software cliente RDP preinstalado como parte del sistema operativo, que les permite conectarse a otras computadoras en la red, incluidos los servidores de la organización ) Una conexión a un servidor en este caso significa que podría directamente al sistema operativo del servidor, o podría ser a un sistema operativo que se ejecuta dentro de una máquina virtual en ese servidor. Desde esa conexión, una persona puede abrir directorios, descargar y cargar archivos y ejecutar programas, como si estuviera usando el teclado y el monitor conectados a ese servidor.

RDP fue inventado por Citrix en 1995 y vendido como parte de una versión mejorada de Windows NT 3.51 llamada WinFrame. En 1998, Microsoft agregó RDP a Windows NT 4.0 Terminal Server Edition. Desde entonces, el protocolo ha sido parte de todas las versiones de la línea de sistemas operativos Windows Server de Microsoft, además de estar incluido en todas las ediciones de usuarios no domésticos de los sistemas operativos Windows Client desde que se lanzó Windows XP en 2001. Hoy, usuarios comunes de RDP incluyen administradores de sistemas que realizan la administración remota de servidores desde sus cubículos sin tener que ir a la sala de servidores, así como trabajadores remotos que pueden conectarse a máquinas de escritorio virtualizadas dentro del dominio de su organización.

¿Qué hacen los atacantes con RDP?

Durante los últimos años, ESET ha visto un número cada vez mayor de incidentes en los que los atacantes se han conectado remotamente a un servidor de Windows desde Internet utilizando RDP e iniciado sesión como administrador de la computadora. Una vez que los atacantes inician sesión en el servidor como administrador, generalmente realizarán un reconocimiento para determinar para qué se utiliza el servidor, por quién y cuándo se está utilizando.

Una vez que los atacantes conocen el tipo de servidor del que tienen control, pueden comenzar a realizar acciones maliciosas. Las actividades maliciosas comunes que hemos visto incluyen:

  • borrando archivos de registro que contienen evidencia de su presencia en el sistema
  • deshabilitar las copias de seguridad programadas y las instantáneas
  • deshabilitar el software de seguridad o configurar exclusiones en él (lo cual está permitido para los administradores)
  • descargar e instalar varios programas en el servidor
  • borrar o sobrescribir copias de seguridad antiguas, si están accesibles
  • extrayendo datos del servidor

Esta no es una lista completa de todas las cosas que un atacante puede hacer, ni un atacante necesariamente va a realizar todos de estas actividades. Los atacantes pueden conectarse varias veces durante días o solo una vez, si tienen una agenda predeterminada. Si bien la naturaleza exacta de lo que harán los atacantes varía mucho, dos de los más comunes son:

  • instalando programas de extracción de monedas para generar criptomonedacomo Monero
  • Instalar ransomware para extorsionar dinero de la organización, a menudo se paga con criptomonedas, como bitcoin

En algunos casos, los atacantes pueden instalar software de control remoto adicional para mantener el acceso (persistencia) a un servidor comprometido en caso de que su actividad RDP sea descubierta y finalizada.

No hemos visto ningún servidor comprometido tanto para extorsionar a través de ransomware como para minar criptomonedas, pero hemos visto casos en que un atacante comprometió un servidor para minar criptomonedas, y luego otros atacantes que cambiaron el minero para que el los ingresos fueron a ellos, en su lugar. Parece que hay poco honor entre los ladrones.

El conocimiento sobre los ataques RDP ha llegado a un punto en el que incluso los estafadores de sextortion están incorporando sus notas de rescate en un intento de hacer que sus estafas suenen más legítimas.

Figura 1. Imagen de estafa de correo electrónico de sextortion que menciona RDP

Para obtener más información sobre este tipo de estafas por correo electrónico, recomiendo esta serie de artículos de mi colega Bruce P. Burrell: Parte 1, Parte IIy Parte III.

Ataques masivos de PDR

Los ataques realizados con RDP han sido lentos, pero constantes, en aumento y sujetos a una serie de advertencias gubernamentales de FBI, el Reino Unido NCSCDe Canadá CCCSy de Australia ACSC, para nombrar unos pocos.

Sin embargo, en mayo de 2019 se abrieron las compuertas con la llegada de CVE-2019-0708, también conocido como "BlueKeep", una vulnerabilidad de seguridad en RDP que afecta a Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 y Windows Server 2008 R2. En el escritorio, Windows 8 y posterior, y en servidores, Windows Server 2012 y posterior, no se ven afectados.

La vulnerabilidad BlueKeep permite a los atacantes ejecutar código de programa arbitrario en las computadoras de sus víctimas. Si bien incluso los atacantes individuales pueden ser una amenaza generalizada porque pueden usar herramientas automatizadas para los ataques, esta vulnerabilidad es "susceptible de uso", lo que significa que un ataque podría extenderse automáticamente a través de las redes sin ninguna intervención de los usuarios, tal como Win32 / Diskcoder.C (aka NotPetya) y Conficker los gusanos tienen en el pasado.

La explotación de vulnerabilidades wormable generalmente se considera un problema grave. Microsoft ha asignado a la vulnerabilidad el nivel de gravedad más alto de Crítico en su guía publicada para clientes, y en la Base de datos de vulnerabilidad nacional del gobierno de EE. UU., la entrada para CVE-2019-0708 se califica como 9.8 de 10. Microsoft emitió un entrada en el blog Recomendamos encarecidamente a los usuarios que instalen sus parches, incluidos aquellos para sistemas operativos fuera de soporte, como Windows XP y Windows Server 2003. Las inquietudes sobre un exploit wormable eran tan altas que, a principios de junio, la Agencia de Seguridad Nacional de EE. UU. emitió un aviso raro recomendar la instalación de los parches de Microsoft para la falla.

A principios de septiembre, Rapid7, el desarrollador de la herramienta de pentesting Metasploit, anunció el lanzamiento de una hazaña BlueKeep. Si bien no se informaron escaladas importantes en la actividad de BlueKeep durante los próximos meses, esto ha cambiado recientemente. A principios de noviembre, informes masivos de la explotación de BlueKeep se hizo pública, como lo señaló ZDNet y CABLEADO, entre otros medios de comunicación. Según los informes, los ataques no tuvieron éxito, con aproximadamente el 91% de las computadoras vulnerables que se bloquearon con un error de detención (también conocido como verificación de errores o pantalla azul de la muerte) cuando el atacante intenta explotar la vulnerabilidad BlueKeep. Sin embargo, en el 9% restante de las computadoras vulnerables, estos atacantes instalaron con éxito el software de criptominería Monero. Entonces, si bien no es el temible ataque de gusanos, parece que un grupo criminal tiene una explotación automatizada, aunque sin una alta tasa de éxito.

Cuando originalmente comencé a escribir esta publicación de blog, no era mi intención entrar en una descripción detallada de la vulnerabilidad, ni era proporcionar un cronograma de su explotación: mi objetivo era proporcionar a los lectores una comprensión de lo que se debe hacer para protegerse contra esta amenaza. Entonces, echemos un vistazo a lo que hay que hacer.

Defensa contra atacantes transmitidos por RDP

Entonces, con todo eso en mente, ¿qué puedes hacer? Bueno, lo primero, obviamente, es dejar de conectarse directamente a sus servidores a través de Internet utilizando RDP. Esto puede ser problemático para algunas empresas, ya que puede haber algunas razones aparentemente legítimas para esto. Sin embargo, con el soporte para Windows Server 2008 y Windows 7 que finaliza en enero de 2020, tener computadoras que las ejecuten y sean directamente accesibles mediante RDP a través de Internet representa un riesgo para su negocio que ya debería planear mitigar.

Esta no quiere decir que inmediatamente debe dejar de usar RDP, pero que debe tomar medidas adicionales para asegurarlo lo antes y lo más rápido posible. Con este fin, hemos creado una tabla con los diez pasos principales que puede seguir para comenzar a proteger sus computadoras de los ataques basados ​​en RDP.

Recomendación para asegurar RDP Razón
1. No permita conexiones externas a máquinas locales en el puerto 3389 (TCP / UDP) en el firewall perimetral. * Bloquea el acceso RDP desde internet.
2. Pruebe e implemente parches para la vulnerabilidad CVE-2019-0708 (BlueKeep) y habilite Autenticación a nivel de red lo más rápido posible. Instalar el parche de Microsoft y seguir sus pautas prescriptivas ayuda a garantizar que los dispositivos estén protegidos contra la vulnerabilidad BlueKeep.
3. Para todas las cuentas que se pueden iniciar sesión a través de RDP, se requieren contraseñas complejas (es obligatoria una frase de contraseña larga que contenga más de 15 caracteres sin frases relacionadas con la empresa, los nombres de productos o los usuarios). Protege contra ataques de adivinación de contraseña y relleno de credenciales. Es increíblemente fácil automatizarlos, y aumentar la longitud de una contraseña exponencialmente los hace más resistentes a tales ataques.
4. Instale la autenticación de dos factores (2FA) y, como mínimo, exíjala en todas las cuentas que se pueden iniciar sesión a través de RDP. Requiere una segunda capa de autenticación solo disponible para los empleados a través del teléfono móvil, token u otro mecanismo para iniciar sesión en las computadoras.
5. Instale una puerta de enlace de red privada virtual (VPN) para negociar todas las conexiones RDP desde fuera de su red local. Evita las conexiones RDP entre Internet y su red local. Le permite imponer requisitos más estrictos de identificación y autenticación para el acceso remoto a las computadoras.
6. Software de seguridad de endpoint protegido con contraseña utilizando una contraseña segura no relacionada con cuentas administrativas y de servicio. Proporciona una capa adicional de protección si un atacante obtiene acceso de administrador a su red.
7. Habilite el bloqueo de explotación en el software de seguridad de punto final. Muchos programas de seguridad de punto final también pueden bloquear las técnicas de explotación. Verifique que esta funcionalidad esté habilitada.
8. Aísle cualquier computadora insegura a la que deba accederse desde Internet utilizando RDP. Implemente el aislamiento de la red para bloquear las computadoras vulnerables del resto de la red.
9. Reemplace las computadoras inseguras. Si no se puede reparar una computadora contra la vulnerabilidad de BlueKeep, planifique su reemplazo oportuno.
10. Considere instituir el bloqueo de geoIP en la puerta de enlace VPN. Si el personal y los vendedores están en el mismo país, o en una lista corta de países, considere bloquear el acceso de otros países para evitar conexiones de atacantes extranjeros.

* Por defecto, RDP opera en el puerto 3389. Si ha cambiado este puerto a un valor diferente, entonces ese es el puerto que debe bloquearse.

Esta tabla se basa libremente en el orden de importancia y la facilidad de implementación, pero eso puede variar según su organización. Algunos de estos pueden no ser aplicables a su organización, o puede ser más práctico hacerlo en un orden diferente, o puede haber pasos adicionales que su organización debe tomar.

Debe verificar que su software de seguridad de punto final detecte la vulnerabilidad de BlueKeep. BlueKeep se detecta como RDP / Exploit.CVE-2019-0708 por ESET Protección contra ataques de red módulo, que es una extensión del firewall de ESET tecnología presente en ESET Internet Security y ESET Smart Security Premium para consumidores, y los programas de protección de punto final de ESET para empresas.

(incrustar) https://www.youtube.com/watch?v=6oi2aKeaURI (/ incrustar)

Figura 2. Tecnología ESET Antimalware explicada: Protección contra ataques de red

Sin embargo, debe tenerse en cuenta que hay escenarios en los que la detección puede no ocurrir, como la explotación que primero bloquea el sistema porque no es confiable. Para que sea más eficaz, debería emparejarse con otro exploit, como una vulnerabilidad de divulgación de información que revela las direcciones de memoria del kernel para que ya no sea necesario adivinarlas. Esto podría reducir la cantidad de accidentes, ya que el exploit actual realiza una pulverización de pila tan grande.

Si está utilizando software de seguridad de otro proveedor, consulte con ellos para ver si se detecta BlueKeep y cómo.

Tenga en cuenta que estos pasos representan solo el comienzo de lo que puede hacer para protegerse contra los ataques RDP. Si bien la detección de ataques es un buen comienzo, no es un sustituto para parchar o reemplazar computadoras vulnerables. Su personal de seguridad de la información y sus socios de seguridad confiables pueden brindarle orientación adicional específica para su entorno.

Uso del verificador de vulnerabilidades BlueKeep (CVE-2019-0708) de ESET

ESET ha lanzado una herramienta gratuita BlueKeep (CVE-2019-0708) para verificar si una computadora con Windows es vulnerable a la explotación. En el momento de la publicación, la herramienta se puede descargar desde:

(Asegúrese de revisar ESET Página de herramientas y utilidades para versiones más nuevas)

Este programa ha sido probado en versiones de 32 bits y 64 bits de Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 y Windows Server 2008 R2 antes y después de aplicar las actualizaciones de Microsoft para BlueKeep. Para usar el programa, ejecute el ejecutable. No hay argumentos de línea de comandos para usar con la versión inicial.

Cuando se ejecute, el programa informará si el sistema es vulnerable a la explotación, si el sistema está parcheado contra la explotación, o si el sistema no es vulnerable a la explotación de BlueKeep. En el caso de que el sistema sea vulnerable, la herramienta llevará al usuario a la página web para descargar el parche apropiado en el sitio web de Microsoft.

Si bien esta es una herramienta de propósito único destinada para uso personal y no está destinada a implementarse para uso masivo en un entorno automatizado, tiene informes de error limitados. Para las secuencias de comandos, la herramienta devuelve un NIVEL DE ERROR de cero si el sistema está protegido, y uno si es vulnerable o si ha ocurrido un error.

Figura 3. Ejemplo de herramienta en ejecución en un sistema Windows 7 no parcheado

Figura 4. Ejemplo de herramienta en ejecución en el sistema parcheado de Windows 7

Figura 5. Ejemplo de herramienta en ejecución en un sistema Windows 10 no vulnerable

Pensamientos finales y lecturas adicionales.

Si bien la explotación de BlueKeep puede que nunca se generalice, su inclusión en las herramientas de pentesting significa que se convertirá en una parte permanente de las pruebas de seguridad internas. Por lo tanto, la solución real para evitar la explotación de BlueKeep es eliminar los dispositivos vulnerables de la red de su empresa.

Sin embargo, no siempre es posible hacerlo porque un dispositivo vulnerable ocupa un papel crítico en el negocio, por el costo o por otras razones. Hace tiempo que abogamos por adoptar un enfoque de seguridad en capas, y la protección contra BlueKeep no es una excepción. De hecho, algunos de los pasos descritos anteriormente, por ejemplo, instalar una aplicación 2FA como Autenticación segura de ESET, también puede ayudar a proteger sus redes contra intrusos y otras amenazas.

Puede encontrar más información sobre RDP y BlueKeep en:

Un agradecimiento especial a mis colegas Alexis Dorais-Joncas, Bruce P. Burrell, Nick FitzGerald, Matúš P., Peter R., Peter Stančík, Štefan S. y otros colegas de ESET por su ayuda con este artículo.

Técnicas MITRE ATT y CK

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1076 Protocolo de escritorio remoto BlueKeep aprovecha una vulnerabilidad en el Protocolo de escritorio remoto.
T1133 Servicios remotos externos BlueKeep explota los servidores RDP públicos en Internet.
Comando y control T1071 Protocolo de capa de aplicación estándar BlueKeep usa el puerto 3389 por defecto para comando y control.
T1043 Puerto de uso común BlueKeep usa el puerto 3389 de forma predeterminada para la orientación de ataques.
Movimiento lateral T1210 Explotación de servicios remotos BlueKeep explota los servidores RDP públicos en Internet.
Mitigación M1035 Limite el acceso a los recursos a través de la red Evite la entrada de BlueKeep a través del uso de la puerta de enlace VPN.
M1050 Protección contra exploits Evite el ingreso de BlueKeep mediante el uso de la protección contra exploits en la seguridad de endpoints
M1032 Autenticación multifactorial Utilice MFA para todos los inicios de sesión realizados a través de RDP.
M1031 Prevención de intrusiones en la red Evite el ingreso de BlueKeep mediante el uso de protección de red en la seguridad de los puntos finales.
M1051 Actualiza el software Evite la explotación de BlueKeep mediante la instalación del parche CVE-2019-0708 o actualice a la versión del sistema operativo no vulnerable.
M1049 Antivirus / Antimalware Evite que el código de ataque de BlueKeep se ejecute mediante el uso de la seguridad de punto final.

¿Sigues usando computadoras vulnerables a BlueKeep? ¿Le ayudó el comprobador de vulnerabilidades BlueKeep (CVE-2019-0708) de ESET? Si es así, ¿qué pasos ha tomado para mitigar la explotación? ¡Asegúrese de informarnos a continuación!








Enlace a la noticia original