Am 14. Mai 2019 hat Microsoft Security Updates für eine kritische Code Execution Schwachstelle veröffentlicht, welche mittlerweile den Spitznamen BlueKeep erhalten hat. Diese Schwachstelle betrifft die Remote Desktop Services verschiedener Microsoft Betriebssystem und wird mit dem CVE Code CVE-2019-0708 dokumentiert.

CVE-2019-0708 erlaubt es einem Angreifer, Remote Code auf einer verwundbaren Maschine auszuführen, welche das RDP Protokoll nutzen. Die Schwachstelle kann auch dazu ausgenutzt werden, automatisiert Code auf benachbarte Systeme zu verteilen, was eine rasche Verbreitung des Schadcodes wahrscheinlich macht.

Um sich vor diesem Risiko zu schützen, empfehlen wir jedem Systemverantwortlichen, betroffene Systeme so bald als möglich zu patchen.

Clue Vulnerability Management

Kontinuierliches Vulnerability Management zur frühzeitigen Erkennung von Risiken durch Schwachstellen

Wie unterscheidet sich diese Schwachstelle von anderen?

Diese Schwachstelle sollte generell sehr erst genommen werden, wie auch Microsoft dies tut. Das zeigt sich dabei, dass z.B. die Security Updates auch für ältere Betriebssysteme zur Verfügung stehen, für die der Support bereits ausgelaufen ist, wie bei Windows XP, Vista oder Server 2003.

Weiter referenziert Microsoft in Ihrem Statement direkt auf die sehr aggressiven Schädlinge WannaCry und NotPetya aus 2017, welche sich ebenfalls durch ähnliche Schwachstellen in weit verbreiteten Protokollen wie SMB stark verbreiten und weltweit zu sehr grossen Schäden geführt haben.

Wie ist der aktuelle Stand?

  • Es wurden bereits Exploits von mehreren Sicherheits Unternehmen, wie z.B. McAffee entwickelt und getestet, aber noch nicht released
  • Es wird bereits mit Fake Exploits gehandelt
  • IDS/IPS Datenbanken haben bereits pattern für die Erkennung eines Angriffes
  • Ein Sicherheitsforscher hat bereits ein Metasploit Modul für die BlueKeep Schwachstelle geschrieben, welche ein System innerhalb von 22 Sekunden komplett übernehmen kann, dieses aber noch nicht veröffentlicht

Was sollten Sie in Bezug auf BlueKeep unternehmen?

1. Patchen oder Services abschotten!

Zuerst sollte man sich darauf fokusieren, öffentliche RDP Services unmittelbar zu patchen oder diese Services zu deaktivieren. Dann sollten interne Systeme nach Priorität eingeordnet werden und ebenfalls mit den Sicherheits Updates geschützt werden.

Mit Clue Vulnerability Management können Sie schnell und ohne grossen Aufwand eine Übersicht über Ihre RDP Services und die darin existierenden Schwachstellen erhalten und so Systeme effizient priorisieren und patchen.

2. Risiko minimieren

Network Level Authentication
Die Microsoft Network Level Authentication verhindert die Ausnutzung dieser Schwachstelle, da der Angreifer gültige Credentials besitzen muss, um eine RCE auszuführen. Per Vulnerability Management können Systeme ohne oder mit optionaler NLA gefunden und aufgezeigt werden.

Services per Netzwerk Firewall verbieten
RDP Services sollten ohnehin nur durch einen zusätzlichen Security Layer über das Internet nutzbar sein. Per Enterprise Firewall kann der Zugriff auf RDP durch eine Sperrung des Ports 3389 geschlossen und damit das Risiko abgewendet werden. Zu beachten gilt, dass auch interne Systeme, welche auf einem anderen Weg infiziert wurden, sehr grossen Schaden anrichten können.

Deaktivieren der RDP Services
Werden die RDP Services nicht benötigt, können diese auch deaktiviert werden. Per Active Directory Group Policy können so für ganze Gruppen von Maschinen diese nicht benötigten Services deakativiert werden. Dies reduziert auch hier die Angriffsfläche beachtlich.

3. Maschinen Parks und Industrial IoT prüfen

Häufig werden in Maschinen Parks und Shop Floors noch ältere Betriebssysteme eingesetzt, welche in diesem Fall von dieser Schwachstelle betroffen sind. Generell gilt es auch hier, von den Anbietern die Installation der Sicherheitsupdates anzufordern und per IoT Schwachstellen Management zu validieren.

Links und Verweise

Microsoft Statement

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

Microsoft Security Patches

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

Entdeckung durch Kevin Beaumont auf Twitter

Clue Vulnerability Management

Vulnerability Management