BlueKeep-haavoittuvat Windowsit Suomessa ja ohjeet niiden suojaamiseen

Toukokuussa 2019 Ison-Britannian kansallinen kyberturvallisuuskeskus löysi Bluekeep-nimisen haavoittuvuuden (CVE-2019-0708) joka mahdollistaa Windowsin etäkäyttöön tarkoitetun RDP-protokollan hyödyntämisen hyökkäyksissä. Haavoittuvuuden avulla hyökkääjä voi ajaa haitallista koodia verkon yli päivittämättömässä Windows-järjestelmässä. Tiedote haavoittuvuudesta ja päivitys haavoittuviin järjestelmiin julkaistiin Microsoftin puolesta 14. toukokuuta. Hyökkäystyökalu haavoittuvuuteen julkaistiin 6. syyskuuta.

Haavoittuvia järjestelmiä ovat:

  • Windows: 2000, XP, Vista, 7
  • Windows Server: 2003, 2008, 2008 R2

Mikä tekee tästä haavoittuvuudesta mainitsemisen arvoisen? Vaikka aikaa järjestelmien päivittämiseen oli lähes neljä kuukautta, blogin kirjoitushetkellä 10. syyskuuta haavoittuvia Windowseja oli löydettävissä verkosta maailmanlaajuisesti vielä noin 700 000. Tarkistimme erikseen myös Suomeen paikannettavat IP-osoitteet. Havaitsimme yli 500 verkkoon näkyvää Windowsia jotka ovat todennäköisesti haavoittuvia. Joukossa on esimerkiksi yritysten sähköpostipalvelimia.

Kaikella todennäköisyydellä tämä ei kerro koko totuutta Suomen haavoittuvien Windowsien määrästä. Leijona Security on parhaillaan ilmoittamassa haavoittuvista järjestelmistä niiden järjestelmien omistajille jotka pystymme tunnistamaan pelkän IP-osoitteen perusteella.

Koska hyökkäystyökalu on julkisesti saatavilla, on järjestelmien päivittäminen ja suojaaminen äärimmäisen tärkeää. Seuraavassa ohjeet haavoittuvuudelta suojautumiseen ja RDP-protokollan käytön turvaamiseen. 

Ohjeet haavoittuvien järjestelmien löytämiseen ja suojaamiseen

RDP-protokollan käytön turvaaminen (nämä ohjeet on hyvä ottaa käyttöön yksittäisistä haavoittuvuuksista riippumatta):

  • Varmista että palomuurisi, etenkin internetiin auki olevat, estävät liikenteen TCP-portista 3389. Tällä estetään haavoittuvan portin näkyminen internetiin vaikeuttamatta muuta tarpeellista liikennettä.
  • Kytke Network Level Authentication (NLA) päälle. Näin hyökkäykseen vaaditaan toimiva käyttäjätunnus.
  • Kytke RDP pois päältä mikäli sitä ei tarvita. RDP:n käytölle tulee aina olla peruste, ja sen käytön minimoiminen on hyvä käytäntö riippumatta tästä haavoittuvuudesta.

Haavoittuvien järjestelmien löytäminen ja päivittäminen:

Tarkista Windowseistasi onko seuraavat päivitykset asennettu:

  • Windows XP: KB4500331
  • Windows Server 2003 SP2: KB4500331
  • Windows Vista: KB4499149 tai KB4499180
  • Windows Server 2008 SP1: KB4499149 tai KB4499180
  • Windows 7 SP1: KB4499164 tai KB4499175
  • Windows Server 2008 R2: KB4499164 tai KB4499175

Jos ylläoleva päivitys puuttuu, järjestelmä on haavoittuva. Haavoittuvien järjestelmien löytämiseen verkosta kannattaa käyttää esimerkiksi haavoittuvuuksien hallinnan työkalua (näiden hyödyistä lisää myös blogissamme) tai ilmaista rdpscan-työkalua jonka voi ladata alla olevasta linkistä:

Työkalu (Windows / MacOS):

https://github.com/robertdavidgraham/rdpscan/releases

Käyttöohjeet:

https://www.bleepingcomputer.com/news/security/finding-windows-systems-affected-by-bluekeep-remote-desktop-bug/

Opittavaa?

Tämä haavoittuvuus osoittaa jälleen, miten haavoittuvuuden löytämisestä ja paikkaamisesta hyökkäysmetodin julkaisemiseen kuluu usein kuukausia. Tuo aikaikkuna on riittävä järjestelmien päivittämiseen, mutta usein tietohallinto ei syystä tai toisesta ole ajan tasalla ja järjestelmät ovat yhä päivittämättä kun hyökkäystyökalut tulevat kaikkien saataville.

Tärkeät opit:

  1. Toteuta parhaita käytäntöjä verkkoprotokollien käytössä haavoittuvuuksista riippumatta
  2. Pidä huoli turvallisuuspäivityksistä
  3. Mahdollisuuksien mukaan käytä esimerkiksi haavoittuvuuksien hallintaa tai muuta keinoa varmistuaksesi että verkossasi ei ole haavoittuvia järjestelmiä

Lisätietoa:

https://nvd.nist.gov/vuln/detail/CVE-2019-0708

https://en.wikipedia.org/wiki/BlueKeep

Kategoria Ajankohtaista, Blogi