Nuovo Zero-Day su Microsoft Windows Remote Desktop

05/06/2019

0day CVE-2019-0708 CVE-2019-9510 exploit Microsoft

Il ricercatore di sicurezza Joe Tammariello della Carnegie Mellon University ha pubblicato i dettagli di uno 0-day che affligge il software Microsoft Windows Remote Desktop su Windows 10 1803 e Windows Server 2019. La vulnerabilità, tracciata con il CVE-2019-9510, risiede nella fase in cui remote desktop richiede al client di autenticarsi tramite il Network Level Authentication (NLA). Un possibile sfruttamento della falla potrebbe permettere ad un attaccante lato client di eludere la schermata di blocco delle sessioni del desktop remoto. Ciò accade pure quando sono abilitati sistemi di autenticazione a due fattori integrati nella schermata di login di Windows.

Il Network Level Authentication (NLA) è un metodo di autenticazione utilizzato per migliorare la sicurezza della sessione RDP, attraverso l’autenticazione dell’utente prima dell’avvio della connessione di desktop remoto e la visualizzazione di una finestra di blocco schermo.

Leandro Velasco, del Security Research Team di KPN, ha condiviso ad Hacker News un video PoC che dimostra come è possibile sfruttare la falla:

Lo scenario d’attacco è il seguente:

  1. L’utente si connette a un sistema remoto Windows 10 1803 o Windows Server 2019 attraverso RDP;
  2. L’utente blocca la sessione del desktop remoto e lascia il client incustodito;
  3. A quel punto un attaccante che ha la possibilità di accesso al client, può interrompere la connessione di rete e ottenere l’accesso al sistema remoto senza credenziali.

La vulnerabilità è stata notificata a Microsoft da Tammariello in data 19 aprile, ma la società ha deciso di non rilasciare patch a riguardo e sembra che non lo farà neanche in futuro.

La vulnerabilità “BlueKeep” su RDP

Lo zero-day si aggiunge alla vulnerabilità critica con CVE-2019-0708, detta “BlueKeep”, che colpisce sempre l’applicazione Remote Desktop Services (RDP) ma sui sistemi Windows 7, Windows Server 2008 R2, Windows Server 2008 e sui non più supportati Windows XP e Windows 2003.

Nel comunicato dello scorso 30 maggio 2019, Microsoft raccomanda l’applicazione della patch in quanto la vulnerabilità potrebbe interessare quasi un milione di computer connessi a Internet e soprattutto le reti aziendali dove il pericolo di infezione potrebbe comportare danni ancora maggiori. Infatti, a causa della natura “wormable” della minaccia, una macchina compromessa potrebbe propagare l’attacco su tutta la rete aziendale e sfruttare ulteriori vecchie vulnerabilità su macchine non aggiornate.

Remediation

Lo sviluppo di codice malevolo e di exploit per lo sfruttamento di BlueKeep è ormai solo questione di tempo. Il CERT-PA consiglia di verificare lo stato di aggiornamento dei sistemi e di applicare le seguenti possibili contromisure:

  • blocco della porta TCP 3389 (utilizzata dal protocollo RDP) sui firewall, in particolare sui firewall perimetrali esposti a Internet;
  • abilitazione dell’autenticazione a livello di rete;
  • disabilitazione dei servizi RDP se non richiesti, in modo da ridurre l’esposizione della superficie d’attacco.

Di seguito le patch applicabili per ciascuna versione di sistema operativo interessato alla vulnerabilità CVE-2019-0708:

  • Windows® XP / Windows Server® 2003 – Security Patch KB4500331
  • Windows® Vista / Windows Server® 2008 – Security Patch KB4499180 o Monthly Rollup KB4499149
  • Windows® 7 / Windows Server® 2008 R2 – Security Patch KB4499175 o Monthly Rollup KB4499164

Riferimenti

Aggiornamento del 18 Giugno 2019

La vulnerabilità CVE-2019-0708 (BlueKeep) è un bug di tipo “wormable,” ovvero può essere sfruttato dagli autori di malware per creare codice in grado di propagarsi rapidamente ad altri sistemi, proprio come accadde nel caso dell’attacco WannaCry. Come spiegato dagli esperti di sicurezza Microsoft, questa vulnerabilità potrebbe essere sfruttata dai malware per infettare altri sistemi propagandosi rapidamente ed in modo incontrollato nelle reti che ospitano sistemi infetti.

Nonostante il pronto rilascio da parte di Microsoft della patch per la vulnerabilità Remote Desktop Protocol (RDP), sono emerse informazioni sulla disponibilità di exploit per sfruttare la falla.

E’ notizia del giorno, lo sviluppo da parte di un esperto di sicurezza che risponde al nome di Zǝɹosum0x0, di un modulo Metasploit che consente di sfruttare la falla BlueKeep per attaccare sistemi basati su Windows XP, 7 e Server 2008 e di un mudulo scanner Metasploit che consentirebbe di individuare sistemi esposti on-line affetti dalla vulnerabilità CVE-2019-0708. Di seguito si riporta un video PoC realizzato da Zǝɹosum0x0 che mostra come sfruttare la vulnerabilità di BlueKeep su un sistema Windows 2008.

Microsoft è corsa ai ripari rilasciando delle patch anche per sistemi Windows non più supportati come XP, Server 2003, 7 ,Server 2008 e come già indicato dal CERT-PA nelle azioni di remediation, consiglia agli utenti di Windows 7 e Server 2008 di abilitare il Network Level Authentication (NLA) e bloccare la porta TCP 3389 per mitigare gli effetti del bug.

Tuttavia, nello scorso weekend sono state rilevate scansioni svolte ad opera di cybercriminali al fine di analizzare la rete alla ricerca di sistemi basati su Windows interessati da “BlueKeep”.

E’ stato inoltre rivelato che diversi prodotti realizzati da Siemens Healthineers, una società Siemens specializzata nella tecnologia medica, sono affetti dalla vulnerabilità e che all’interno del territorio italiano la vulnerabilità è stata probabilmente sfrutta per la diffusione del ransomware Sodinokibi.

Il CERT-PA evidenzia che i tentativi in corso finalizzati allo sfruttamento della vulnerabilità, potrebbero in misura anche preoccupante andare a buon fine dal momento che esistono milioni di dispositivi Windows non adeguatamente protetti agli attacchi che sfruttano la falla BlueKeep. Si suggerisce quindi di installare le patch Microsoft quindi di porre in essere le remediation consigliate e di monitorare i propri sistemi di sicurezza perimetrale al fine di individuare rapidamente eventuali scansioni/attacchi che cercano di sfruttare la vulnerabilità.