Os ataques de force brute e os exploits de BlueKeep aproveitam-se das ligações RDP (Remote Desktop Protocol) diretas. A ESET explica a vulnerabilidade e o que devemos fazer para a evitar.
A ESET tem também disponível gratuitamente uma ferramenta que permite verificar se o seu sistema está vulnerável.
Apesar da vulnerabilidade BlueKeep (CVE-2019-0708) não ter causado o caos generalizado, neste artigo explicaremos as razões pelas quais ela está ainda num estágio inicial do seu ciclo de vida de exploração. O facto é que muitos sistemas ainda não foram atualizados e é ainda possível encontrar versões completamente suscetíveis de serem exploradas. Devido a estes fatores, a ESET criou uma ferramenta gratuita para verificar se um sistema é vulnerável.
Existe um velho ditado no campo da segurança da informação que diz que, se alguém tem acesso físico ao seu computador, então já não é o seu computador. A razão disto é bastante simples: a partir do momento em que os criminosos tenham acesso direto a um computador, podem alterar o que entenderem – instalar um keylogger, remover ou mesmo eliminar unidades de disco, copiar os dados, adicionar o que queiram no sistema, etc. Tudo se torna exponencialmente mais fácil quando existe acesso direto ao equipamento.
Empresas, escolas e todo o tipo de organizações estão conscientes disto, já que em nenhum destes lugares colocam os seus servidores no vestíbulo, na receção, na sala de visitas ou noutro espaço de fácil acesso físico por parte do público, funcionários, estudantes ou pessoal externo. Na verdade, nenhum negócio que queira manter-se de pé o pode permitir. Daí que seja comum que os servidores sejam colocados numa sala própria, dedicada, ou pelo menos numa zona fora do alcance da maioria do pessoal.
No entanto, apesar de todo este conhecimento comum, as lições aprendidas sobre segurança no mundo físico nem sempre se aplicam ao mundo da Internet. Há uma grande quantidade de servidores ligados diretamente à Internet que têm a correr várias versões de sistemas operativos Microsoft Windows para servidores, o que representa pouca ou nenhuma segurança prática sobre quem pode aceder aos mesmos. E isso leva-nos à discussão do RDP.
O que é o RDP?
RDP é a abreviatura de Remote Desktop Protocol, uma funcionalidade que permite que um computador se ligue a outro computador através de uma rede para usá-lo de forma remota. Num domínio, os computadores que executam um Windows cliente, como o Windows 7 ou Windows 10, vêm com um cliente RDP pré-instalado como parte do sistema operativo, que lhes permite ligarem-se a outros computadores em rede, incluindo servidores da organização. Uma ligação com um servidor neste caso significa que poderia estar a aceder diretamente ao sistema operativo do servidor, ou numa máquina virtual nesse servidor.
A partir dessa ligação, uma pessoa pode abrir pastas, fazer o download e upload de ficheiros e executar programas, como se estivesse a usar o teclado e o monitor ligados a esse servidor.
O RDP foi criado pela Citrix, em 1995, e vendido como parte de uma versão melhorada do Windows NT 3.51 denominada WinFrame. Em 1998, a Microsoft agregou o RDP à edição Windows NT 4.0 Terminal Server. Desde então, o protocolo passou a fazer parte de todas as versões Windows Server, para além de estar incluído em todas as edições para utilizadores não domésticos dos sistemas operativos clientes desde que foi lançado o XP, em 2001.
Hoje, utilizadores comuns de RDP são os administradores de sistemas que realizam a administração remota de servidores, sem necessidade de se deslocarem à sala de servidores, assim como trabalhadores remotos que podem ligar-se a máquinas do escritório virtualizadas dentro do domínio da sua organização.
O que fazem os hackers com o RDP?
Durante os últimos anos, a ESET tem visto um número cada vez maior de incidentes nos quais os atacantes se ligavam remotamente a um servidor de Windows a partir da Internet utilizando RDP e iniciavam sessão como administrador do computador.
Uma vez que os hackers iniciam sessão no servidor como administrador, geralmente realizam um reconhecimento para determinar para que se utiliza o servidor, por quem e quando está a ser usado.
Uma vez que os atacantes conhecem o tipo de servidor e o que controlam podem começar a realizar ações maliciosas. Algumas das atividades maliciosas mais comuns que temos visto incluem:
- Apagar ficheiros de registo que denunciem a sua presença no sistema;
- Desabilitar as cópias de segurança programadas e as shadow copies;
- Desabilitar o software de segurança ou configurar as suas exclusões (o que apenas é permitido a administradores);
- Descarregar e instalar vários programas no servidor;
- Apagar ou subscrever cópias de segurança antigas, se estiverem acessíveis.
Apesar de esta não ser uma lista completa de todas as coisas que um hacker pode fazer, tão pouco significa que um hacker realize todas estas atividades. Mas duas das ações mais comuns que realizam são:
- Instalar programas para mineração de criptomoeda com o objetivo de gerar criptomoedas;
- Instalar ransomware para extorquir dinheiro à organização (costumam solicitar pagamentos em criptomoedas, como bitcoin).
Em alguns casos, os hackers podem instalar adicionalmente algum software para o controlo remoto com o objetivo de manter o acesso (persistência) a um servidor comprometido caso se descubra e finalize a sua atividade RDP.
Não detetamos até agora nenhum servidor comprometido que seja usado simultaneamente para extorsão através de ransomware e para fazer mineração de criptomoedas, mas temos visto casos em que um hacker comprometeu um servidor para minerar criptomoedas e que logo outros atacantes comprometeram esse mesmo servidor para que os resultados da mineração passassem para o seu nome. Parece que existem poucos escrúpulos entre os ladrões!
O conhecimento acerca dos ataques RDP chegou a um ponto em que mesmo aqueles que praticam golpes de sextorsion mencionam esses ataques nas notas de resgate que enviam às vítimas na tentativa de tornar mais efetivos os golpes.
Ataques massivos de RDP com a chegada de Bluekeep
Os ataques realizados com RDP têm sido lentos, mas constantes, e têm vindo a aumentar. No entanto, em maio de 2019, as comportas abriram-se com a chegada do CVE-2019-0708, também conhecida como “Bluekeep”, uma vulnerabilidade no RDP que afeta o Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2. Em equipamentos desktop, o Windows 8 e as versões posteriores não são afetadas; e, no caso dos servidores, o mesmo acontece com o Windows Server 2012 e versões posteriores.
A vulnerabilidade Bluekeep permite aos hackers executar código de forma arbitrária nos computadores das suas vítimas. Embora até hackers individuais possam representar uma ameaça generalizada, já que podem usar ferramentas automatizadas para os ataques, esta vulnerabilidade possui caraterísticas de “worm”, o que significa que um ataque poderia propagar-se automaticamente através das redes sem nenhuma intervenção dos utilizadores, da mesma forma que fizeram no passado ameaças conhecidas como os worms Win32/Diskcoder.C (mais conhecido como NotPetya) e Conficker.
A exploração de vulnerabilidades com caraterísticas de worm são geralmente consideradas um problema grave. A Microsoft catalogou a vulnerabilidade como “crítica” e publicou um comunicado através do qual recomenda encarecidamente aos utilizadores que instalem os seus patches, incluindo os que se destinam a sistemas operativos que já não têm suporte, como o Windows XP e o Windows Server 2003.
As preocupações sobre uma vulnerabilidade possível de explorar eram tão altas que, no início de junho de 2019, a Agência de Segurança Nacional (NSA) dos EUA emitiu um aviso, pouco frequente, a recomendar a instalação dos patches lançados pela Microsoft para reparar a falha.
No início de setembro de 2019, o Rapid7, o desenvolvedor da ferramenta de teste de penetração Metasploit, anunciou o lançamento de um exploit para Bluekeep. Embora não existam informações importantes na atividade do Bluekeep durante os meses seguintes, esta situação teve alterações recentes: em pelo menos 9% de computadores vulneráveis atacados, os hackers instalaram com êxito software para minerar Monero. Portanto, apesar de não se tratar dos ataques mais temíveis, parece que um grupo criminoso tem uma exploração automatizada, mesmo que sem uma elevada taxa de êxito.
Na origem deste artigo, o objetivo não era fazer uma descrição detalhada da vulnerabilidade, nem proporcionar um cronograma da sua exploração, o objetivo era alertar os leitores sobre a forma como se podem proteger contra esta ameaça. Assim, passemos ao que se pode realmente fazer.
Defesa contra ataques através de RDP
E o que é mesmo possível fazer? Bom, primeiro, e obviamente, deve evitar ligar-se aos seus servidores através da Internet utilizando RDP. Esta pode ser uma questão problemática para algumas empresas. No entanto, com o suporte para Windows Server 2008 e Windows 7 terminado no final de janeiro de 2020, ter computadores que ainda os executam e são diretamente acessíveis através de RDP pela Internet representa um risco significativo para o negócio.
Isto não significa que deva deixar de usar o RDP de imediato, mas sim que se devem tomar medidas adicionais para garantir que tal acontecerá o quanto antes. Com esta finalidade criámos uma lista com os dez passos principais que pode seguir para começar a proteger os computadores dos ataques baseados no RDP.
- 1. Desative ligações externas a máquinas locais na porta 3389 (TCP / UDP) no firewall de perímetro. (1)
- 2. Teste e implemente patches para a vulnerabilidade CVE-2019-0708 (BlueKeep) e ative NLA (Network Level Authentication) o quanto antes.
- 3. Para todas as contas que possam iniciar sessão através de RDP, devem ser consideradas passwords complexas (é obrigatória uma password grande, que possua no mínimo mais de 15 caracteres sem palavras relacionadas com a empresa, nomes de produtos ou utilizadores).
- 4. Instale autenticação de dois fatores (2FA) e, no mínimo, exija-a em todas as contas que possam iniciar sessão através de RDP.
- 5. Instale uma VPN para gerir todas as ligações RDP de fora da sua rede local.
- 6. Proteja com password o software de segurança para endpoint utilizando uma password segura não relacionada com contas administrativas e de serviço.
- 7. Ativar o bloqueio de exploits no software de segurança para endpoint.
- 8. Isole qualquer computador inseguro o qual seja acedido a partir da internet utilizando RDP.
- 9. Substitua os computadores inseguros.
- 10. Considere estabelecer o bloqueio de geoIP na gateway de ligação VPN.
- (1) Por omissão, o RDP opera no porto lógico 3389. Se alterou esse porto para um valor diferente, então essa é esse porque que deve ser bloqueada.
- Deve verificar se o seu software de segurança deteta a vulnerabilidade BlueKeep. Esta vulnerabilidade é detetada como RDP/Exploit.CVE-2019-0708 pelo módulo Network Attack Protection da ESET, que é uma extensão da tecnologia de firewall da ESET presente nos programas de proteção de endpoints da ESET para empresas. Se estiver a utilizar software de segurança de outro fornecedor, consulte-os para saber se deteta Bluekeep e como.
- Tenha em consideração que estes passos representam apenas o início do que pode fazer para se proteger contra os ataques RDP. Embora a deteção de ataques seja um bom começo, não substitui a importância do patch ou substituição dos computadores vulneráveis.
Utilização do verificador de BlueKeep (CVE-2019-0708) da ESET para detetar equipamentos vulneráveis
A ESET lançou uma ferramenta gratuita para verificar se um computador com Windows é vulnerável à exploração de BlueKeep (CVE-2019-0708), que pode ser descarregada a partir daqui.
Este programa foi testado nas versões de 32 bits e 64 bits do Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2 antes e depois de aplicar as atualizações da Microsoft para Bluekeep. Para usar o programa, basta correr o executável.