Bluekeep: Windows RDP Remote Code Execution Kwetsbaarheid V2
CVE: CVE-2019-0708, CVE-2019-118, CVE-2019-11821, CVE-2019-1222, CVE-2019-1226 - CVE Score: 9.8
Bronnen
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226
Risico’s
Deze kwetsbaarheid voor RDP is "Bluekeep" genoemd. Er is een proof-of-concept code beschikbaar. Dit verhoogt het risico op misbruik van de kwetsbaarheid. CERT.be raadt aan om kwetsbare systemen onmiddellijk te patchen.
De kwetsbaarheid heeft een impact op de beschikbaarheid, confidentialiteit en/of integriteit van getroffen systemen. Verder valt het niet uit te sluiten dat gecompromitteerde systemen kunnen opgenomen worden als deel van een botnet om samen een grootschalige aanval uit te voeren, zoals bijvoorbeeld bij de Wannacry campagne in 2017.
Beschrijving
Een ongeautoriseerde aanvaller kan vanop afstand willekeurige code uitvoeren. De code van de aanvaller exploiteert verschillende kwetsbaarheden binnen de Windows RDP service. De keuze van Microsoft om patches voor Windows 2003 en Windows XP aan te bieden, toont aan hoe belangrijk deze kwetsbaarheid is, en hoe dringend het is dat systeembeheerders de nodige patches toepassen.
Enkel versies ouder dan windows 8 en Windows Server 2013 worden getroffen. Recentere versies werden niet getroffen door de kwetsbaarheid.
Update 14/08/2019: Alle versies van Microsoft Windows, behalve Windows XP and 2003 zijn getroffen door de volgende kwetsbaarheden (CVE’s):
• CVE-2019-1181
• CVE-2019-1182
• CVE-2019-1222
• CVE-2019-122
Aanbevolen acties
CERT.be raadt systeembeheerders aan om hun Microsoft Windows systemen zo snel mogelijk te updaten met de laatste beschikbare patches, of de ondersteaande maatregelen toe te passen:
- CVE-2019-0708 voor Windows 7 & Server 2008(R2): https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
- CVE-2019-0708 voor Windows XP & 2003: https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
Update 14/08/2019:
- CVE-2019-1181 & CVE-2019-1182 voor alle Windows versies, behalve XP en 2003: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
- CVE-2019-1222 & CVE-2019-1226 voor alle Windows versies, behalve XP en 2003: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
Indien deze patches niet onmiddellijk kunnen worden toegepast, kunnen verschillende andere maatregelen genomen worden om het risico te verlagen:
- Schakel RDP uit, indien het niet gebruikt wordt (best practice).
- Schakel Network Level Authentication (NLA) in op systemen met ondersteunde versies van Windows 7, Windows Server 2008 en Windows Server 2008 R2. Hiervoor zou een aanvaller een geldig systeemaccount moeten compromitteren om deze kwetsbaarheden te kunnen benutten.
- Het blokkeren van TCP poort 3389 bij de perimeter firewall van de onderneming zal het misbruik op afstand beperken. Merk op dat dit geen beperking biedt voor de exploitatie vanuit het bedrijfsnetwerk.
- Configureer host-gebaseerde firewallpolicies om RDP-verbindingen te beperken tot een set van IP-adressen zodat alleen systeembeheerders verbinding kunnen maken.