Il 13 agostoil, BlueKeep (CVE-2019-0708) - la vulnerabilità RDP di cui abbiamo scritto in il nostro precedente blogpostha colpito ancora. Le due nuove falle verminabili si chiamano BlueKeep II & III (o come alcuni lo chiamano beffardamente, 'DejaBlue".). A differenza del loro predecessore, riguardano tutte le versioni di Windows (incluso Server) a partire da Windows 7 in su. Sia Microsoft che gli esperti di sicurezza suggeriscono fortemente di mettere le patch di sistema come priorità nella lista delle cose da fare degli amministratori di sistema.
Cos'è DejaBlue?
A differenza della scoperta di BlueKeep I da parte di GCHQ, queste vulnerabilità sono state scoperte dai team di sicurezza di Microsoft e sono elencate nel sito Centro di risposta alla sicurezza di Microsoft:
Queste falle individuali possono essere sfruttate da entità maligne per dirottare sistemi vulnerabili senza alcuna forma di autenticazione. In breve, un pacchetto di codice viene inviato attraverso la rete che dà accesso immediato al sistema senza la necessità di accedere. Inoltre, la vulnerabilità permette la diffusione a più sistemi o computer collegati senza alcuna forma di interazione dell'utente, rendendo questo un attacco wormable.
Poiché si tratta di bug di esecuzione di codice remoto in RDS, essere sulla stessa rete di una macchina senza patch è sufficiente per sequestrarla. Ancora peggio, se l'endpoint RDP è rivolto al pubblico (qualcosa che sconsiglia vivamente) ha semplicemente bisogno di essere raggiunto a distanza per portare il caos. Un sistema colpito può dare agli hacker la possibilità di rubare, cancellare o modificare dati, così come installare software (ostile) o eseguire codice dannoso.
Metti la toppa prima di prenderla!
Il BlueKeep 'originale' riguardava le vecchie versioni di Remote Desktop Services, compresi i sistemi legacy che hanno raggiunto la fine della vita. BlueKeep II e III, tuttavia, significa problemi per i sistemi più recenti: "Le versioni di Windows interessate sono Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2," dice Simon Pope (Direttore di Incident Response, MSRC), "e tutte le versioni supportate di Windows 10, comprese le versioni server".
Gli esperti di sicurezza raccomandano due cose:
-
-
- Applicate le patch ai vostri sistemi il più presto possibile, poiché l'ultima patch di Windows impedisce che questo sfruttamento sia possibile. Windows offre aggiornamenti automatici di default, ma quelli che li hanno disabilitati dovrebbero applicare questa patch
- Attivare l'autenticazione a livello di rete (NLA). "I sistemi colpiti sono mitigati contro il malware "wormable" o le minacce malware avanzate che potrebbero sfruttare la vulnerabilità", dice Pope, "poiché NLA richiede l'autenticazione prima che la vulnerabilità possa essere attivata".
-
Evitare le vulnerabilità RDP con Awingu
Come con BlueKeep I, Awingu può aiutarvi a proteggervi contro questo tipo di vulnerabilità wormable. L'accesso RDP, supponendo che non sia pubblico, non è stabilito dalla macchina ma su HTTP tramite un browser. In altre parole, la macchina colpita non accede direttamente all'infrastruttura RDP - l'appliance Awingu lo fa al suo posto. Ciò implica che il vostro RDP non deve essere esposto pubblicamente per stabilire una connessione al vostro Windows App Server da qualsiasi luogo e tramite qualsiasi dispositivo.
In questo caso, Awingu agisce allo stesso modo di un firewall: attenua il rischio che gli attaccanti accedano al vostro endpoint RDP e inizino l'attacco. Con le giuste misure in atto, Awingu diventa l'unico punto di ingresso alla vostra infrastruttura e le sue ampie misure di sicurezza (incluso l'MFA integrato) terranno fuori qualsiasi entità maligna esterna. Detto questo, è ancora la migliore pratica per aggiornare il sistema con le patch più recenti in ogni momento per mantenere la guardia alta contro gli exploit comuni.
English 
Italian 
German 
Spanish 
French