Microsoft выпустила патчи для Windows 7 и Windows XP, чтобы исправить критическую уязвимость

Microsoft исправила критическую уязвимость удаленного выполнения кода в службах удаленного рабочего стола (Remote Desktop Services), которая затрагивает Windows XP, Windows 7 и серверные версии ОС: Windows Server 2003, Windows Server 2008 R2 и Windows Server 2008.

Пользователи поддерживаемых систем могут установить обновления через Центр обновления Windows – для Windows 7 и Windows Server 2008 R2 необходимо установить ежемесячный набор обновлений KB4499164 или только патч безопасности KB4499175. Для Windows Server 2008 – ежемесячный набор обновлений KB4499149 или только патч безопасности KB4499180. Подробнее о патчах для CVE-2019-0708 можно узнать на странице поддержки.

При этом Microsoft также предупреждает пользователей старых версий Windows о необходимости срочно установить обновления для защиты от потенциальной широко распространенной атаки. Компания выпустила исправления для Windows XP и Windows Server 2003, хотя обе операционные системы не поддерживаются. Пользователям этих систем придется вручную загрузить обновление KB4500331 из Каталога Центра обновления Майкрософт.

Саймон Поуп, руководитель отдела по реагированию на инциденты безопасности Microsoft Security Response Center, сообщает:

Данная уязвимость использует функцию предварительной аутентификацией и не требует взаимодействия с пользователем. Другими словами, уязвимость является «вредоносной». Это означает, что любое будущее вредоносное ПО, использующее эту уязвимость, может распространяться с уязвимого компьютера на уязвимый компьютер аналогично распространению вредоносного ПО WannaCry по всему миру в 2017 году.

Microsoft заявляет, что не обнаруживала рабочих эксплойтов для этой уязвимости, но теперь, когда разработчик выпустили обновления, это всего лишь вопрос времени, когда злоумышленники проанализируют исправления Microsoft и создадут вредоносное ПО. К счастью, компьютеры с Windows 8.1 и Windows 10 не подвержены этой уязвимости. Хотя Windows 10 начинает опережать Windows 7 по доле рынка, по-прежнему существуют миллионы компьютеров под управлением Windows 7, поэтому потенциальная атака может быть очень масштабной.

Customer guidance for CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability: May 14, 2019

Microsoft is aware that some customers are running versions of Windows that no longer receive mainstream support. That means those customers will not have received any security updates to protect their systems from CVE-2019-0708, which is a critical remote code execution vulnerability.

Given the potential impact to customers and their businesses, we made the decision to make security updates available for platforms that are no longer in mainstream support (see download links in the following table). These updates are available from the Microsoft Update Catalog only. We recommend that customers running one of these operating systems download and install the update as soon as possible.

Windows XP SP3 x86

Remote Code Execution

Windows XP Professional x64 Edition SP2

Remote Code Execution

Windows XP Embedded SP3 x86

Remote Code Execution

Windows Server 2003 SP2 x86

Remote Code Execution

Windows Server 2003 x64 Edition SP2

Remote Code Execution

Windows Server 2003 R2 SP2

Remote Code Execution

Windows Server 2003 R2 x64 Edition SP2

Remote Code Execution

Windows Vista SP2

Remote Code Execution

Windows Vista x64 Edition SP2

Remote Code Execution

To learn more about the vulnerability, go to CVE-2019-0708.

Information about protection and security

Learn how we guard against cyber threats: Microsoft Security

Сканируем сеть на предмет наличия уязвимости CVE-2019-0708 (BlueKeep) с помощью модуля Metasploit и утилиты rdpscan в ОС Kali Linux 2019.2

Ранее мы писали о выпущенных обновлениях для закрытия уязвимости CVE-2019-0708 Remote Desktop Services Remote Code Execution Vulnerability. Развёртывание этих обновлений не вызывает само по себе какой-то сложности. Однако, учитывая серьёзность уязвимости, будет совсем не лишним провести дополнительное сканирование всех своих сетей на предмет выявления всё ещё уязвимых хостов. Для проведения подобных проверок есть разные методики и инструменты. В этой заметке мы рассмотрим то, как выполнить сканирование сетей с помощью scanner-модуля из состава комплекса Metasploit, поставляемого в специальном дистрибутиве ОС Kali Linux 2019.2. Помимо этого, в этой же ОС, мы выполним сборку и использование дополнительной утилиты сканирования rdpscan.

Разворачиваем Kali Linux

Те, кто до сих пор не знаком со специализированным дистрибутивом ОС Kali Linux, могут получить базовую информацию об этой сборке из статьи Википедии. Для проведения разовых проверок уровня информационной безопасности сетей или отдельной взятых хостов или сервисов с помощью ПО, входящего в состав Kali Linux, можно воспользоваться Live-Boot режимом без установки этой ОС на диск какого-либо компьютера.

В нашем случае для задач тестирования развёрнута выделенная виртуальная машина Hyper-V Gen2 на хосте виртуализации с ОС Windows Server 2012 R2.

Скачать загружаемый образ актуальной версии Kali Linux «без СМС и регистраций» можно с официального сайта проекта: Kali Linux Downloads

Установка Kali Linux на диск виртуальной машины не составит никакого труда для администратора, который уже имел дело с программой установки Linux Debian.

Сразу после установки нам потребуется выпустить систему в Интернет для возможности обновления всех предустановленных пакетов, в число которых входит и интересующий нас комплекс Metasploit. Обновление выполняется стандартным для APT-систем способом:

Разумеется, чтобы обновление пакетов работало, в систему должны быть подключены репозитории Kali Linux:

Возможно также и полное обновление Kali Linux с предыдущих версий, как это описано, например, здесь:

Убедившись в том, что пакетная база системы обновлена, можем переходить к использованию предустановленных в Kali инструментов, например, к интересующему нас комплексу Metasploit.

Используем модуль Metasploit

Входим в интерактивный режим работы со специальной консолью Metasploit:

Данная консоль имеет собственный набор команд и опций. Проверим, какие глобальные опции используются в консоли:

Среди имеющихся опций нас могут заинтересовать опции логирования, выполняемых в консоли действий — ConsoleLogging и SessionLogging. Как видим, в конфигурации по умолчанию эти опции выключены. Включаем логирование консоли и каждой сессий и сохраняем настройки:

Логи консоли по умолчанию сохраняются в домашнем каталоге текущего пользователя в расположении:

/.msf4/logs/console.log . Логи сессий в подкаталоге

После установки глобальных опций логирования лучше завершить сессию командой exit и запустить новую сессию, так как настройки логирования сессий должны начать действовать только для последующих сессий.

После повторного входа проверяем то, что заданные нами ранее настройки логирования включены:

Справедливости ради стоит отметить тот факт, что мой небольшой опыт использования этой консоли в Kali Linux так и не позволил воспользоваться логами сессий. Сессионные логи, не смотря на выставленные опции логирования, так ни разу и не создались. Возможно, это какое-то ограничение данной свободно распространяемой версии Metasploit, а возможно для включения сессионного логирования требуется какое-то дополнительное «шаманство», о котором я просто не знаю.

Как бы там ни было, получить лог работы консоли можно и сторонними средствами. Например, можно использовать логирование SSH-сессии, имеющееся в клиенте PuTTY для Windows, открыв свойства текущего подключения и указав опции логирования сессии.

Логирование процесса сканирования сетей может быть важным для последующей обработки результатов в том случае, если объём сканирования существенен и занимает немало времени. Ведь у администратора не всегда есть возможность наблюдать за длительным процессом сканирования.

Вернёмся к консоли Metasploit и с помощью команды search выполним поиск модуля сканирования уязвимости BlueKeep по её названию командой вида:

В ответ мы получим имя модуля сканирования, который нас интересует.

Чтобы переключиться на этот модуль, выполнима команду use с указанием имени модуля:

Модуль имеет собственный набор опций, получить значение которых можно командой show, находясь на уровне этого модуля:

Как видим, модуль имеет три обязательных опции, две из которых уже определены в конфигурации по умолчанию. Чтобы изменить эти опции, используем команду set. Например, зададим сегмент сети, которую нужно сканировать, и количество потоков сканирования:

Теперь только остаётся запустить процесс сканирования с помощью простой команды:

На консоль будет ведена информация о результатах сканирования и обнаруженных уязвимых хостах:

По окончании процесса сканирования завершаем работу с консолью командой exit, анализируем лог сканирования и принимаем меры по устранению уязвимости обнаруженных хостов.

На этом заметку об описании метода выявления уязвимых хостов можно было бы считать законченной, однако от некоторых коллег поступила информация о том, что были замечены случаи, когда метод выявлял не все уязвимые хосты. Поэтому в контексте нашей задачи мы рассмотрим ещё один инструмент для сканирования сетей на выявление уязвимости BlueKeep — утилиту rdpscan.

Собираем и используем утилиту rdpscan

Загрузить актуальную версию уже скомпилированной утилиты rdpscan под операционные системы Windows и macOS можно по ссылке: Github — robertdavidgraham — rdpscan – releases. Однако в нашем случае для задачи сканирования используется выделенная система на базе Kali Linux, поэтому нам потребуется выполнить загрузку и самостоятельную сборку этой утилиты из исходных колов под Linux.

Выполним установку пакетов, необходимых для загрузки исходных кодом и сборки:

В Kali Linux актуальной версии пакеты git и build-essential уже предустановлены, поэтому в нашем случае в систему будет доустановлен только пакет libssl-dev.

Создадим в домашнем каталоге текущего пользователя отдельный подкаталог и загрузим в него исходные коды утилиты rdpscan:

Перейдём в каталог с исходными кодами и вызовем процедуру сборки утилиты:

В нашем случае в процессе сборки появилось предупреждение, однако на конечный результат это не повлияло, и в каталоге сборки появился исполняемый файл утилиты rdpscan.

Посмотрим то, какие опции умеет для работы принимать эта утилита:

Как видим, здесь, также как и в случае с модулем Metasploit, доступна возможность указания TCP-порта, работающего с RDP-протоколом. Также есть возможность загрузки списка сканируемых хостов из файла, и имеются разны варианты полноты вывода информации.

Выполним простой запуск сканирования небольшой сети, выполняемый в 10 потоков:

В результате работы утилиты мы увидим уязвимые хосты, а также хосты, отвечающие на запрос в безопасном режиме.

Чтобы сократить вывод, отображая только хосты с обнаруженной уязвимостью, можем использовать вызов следующего вида:

Если требуется сохранить результаты работы утилиты в лог-файл для последующего анализа, то можем просто перенаправить вывод утилиты в файл:

Ну и опять же, анализируем лог сканирования и безотлагательно принимаем меры по устранению уязвимости обнаруженных хостов.

В качестве заключения могу отметить, что из моего скромного опыта использования выше обозначенного модуля сканирования BlueKeep в Metasploit и утилиты rdpscan, оба инструмента выполнили свою задачу с одинаковым результатом. Поэтому выбор инструмента сканирования в данном случае — дело сугубо субъективное.

Удаленное выполнение произвольного кода в протоколе RDP

Стало известно об опасной уязвимости в протоколе RDP: корпорация Microsoft подготовила экстренный патч для уязвимости с идентификатором CVE-2019-0708, позволяющей выполнить произвольный код на целевой системе.

Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов (ранее они назывались службами терминалов), когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Эта уязвимость использует предаутентификацию и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может выполнить произвольный код в целевой системе.

The vulnerability (CVE-2019-0708) resides in the “remote desktop services” component built into supported versions of Windows, including Windows 7, Windows Server 2008 R2, and Windows Server 2008. It also is present in computers powered by Windows XP and Windows 2003, operating systems for which Microsoft long ago stopped shipping security updates.

Чтобы воспользоваться уязвимостью, злоумышленнику необходимо отправить специально созданный запрос службе удаленных рабочих столов целевых систем через RDP.

Интересным является тот факт, что эту или схожую уязвимость продавали в «даркнете» как минимум с сентября прошлого года:

description:
This is a bug in RDP protocol.
That means you may exploit any Windows remotely who enables RDP.

vulnerability type:
Heap overflow

affected versions:
Windows 2000/XP/2003/Vista/7/2008(R2)

privilege level obtained:
SYSTEM privilege

reliability:
90% for one core / 30% for multiple core

exploitation length:
around 10 seconds

Possible buyer, [30.09.18 12:58]
affected versions:
Windows 2000/XP/2003/Vista/7/2008(R2)
LOL

Possible buyer, [30.09.18 12:58]
is it pre-auth or post-auth vuln?

SELLER, [30.09.18 12:59]
Pre

Possible buyer, [30.09.18 12:59]
for how much they/he/she sells it?

SELLER, [30.09.18 12:59]
500

SELLER, [30.09.18 12:59]
Shared

Possible buyer, [30.09.18 12:59]
500k USD?

SELLER, [30.09.18 13:00]
So u can guess it was sold few times

This vulnerability is pre-authentication and requires no user interaction. In other words, the vulnerability is ‘wormable’, meaning that any future malware that exploits this vulnerability could propagate from vulnerable computer to vulnerable computer in a similar way as the WannaCry malware spread across the globe in 2017.