Fecha: Setiembre 2019
Objetivo del Estudio:•
•• https://www.linkedin.com/in/cesar-farro-flores/
•• https://www.linkedin.com/in/andres-morales-zamudio-8270381a/
Autores:
•
Publicación:
Objetivo del Estudio:
•
Antecedente:
1)
2)
¿Por qué analizar la seguridad del servicio RDP Terminal Server?
Case 1: Ransomware .arrow
Case 1: Ransomware .arrow
Case 1: Revision of firewall logs: Time Threat
TypeRiskLevel
Threat ID
ThreatName
Source Region
Application Protocol Dst Region
28/04/2018 03:28
Intrusion Low 10001127 RDP Local Account Brute-force Attempt
Russian Federation185.156.177.4
RDP TCP Peru
28/04/2018 03:28:59
Intrusion Low 1000078 Microsoft SQL Server Authentication Brute-force Attempt
HaiKou112.67.5.223
MS_SQLServer TCP Peru
28/04/2018 03:28:59
Intrusion Low 1000078 Microsoft SQL Server Authentication Brute-force Attempt
HaiKou112.67.5.223
MS_SQLServer TCP Peru
28/04/2018 18:13:15
Intrusion Low 370090 Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow Vulnerability
UnitedKingdom194.72.112.130
HTTP TCP Peru
28/04/2018 18:13:16
Intrusion Low 403702 Oracle WebLogic Server WorkContextXmlInputAdapter Insecure Deserialization
UnitedKingdom194.72.112.130
HTTP TCP Peru
Source: Firewall and IPS
Case 1: Revision of firewalls logs:
Source: Firewall and IPS
Case 1: Hospital Ransomware .arrow
Windows Server Terminal server
Entorno de red:1. Microsoft Terminal Server
and Data Base SQL ambos publicados a Internet.
2. Reglas incorrectamente configuradas en el firewall: “Any Any Any”.
Win ServerData Base SQL
Atacante
1
2
Port:3389/tcp
Case 2: bitlocker infected 10 Servers
Case 2: bitlocker infected 10 Servers
Case 2: bitlocker (1)
LAN Servers
UTMFW+ IPS
FileServer
BackupServer
Intranet SQLServer
PortalServer
WAN/MPLS
LAN Servidores y PCS
BackupServer
FileServer
Controles implementados:------
Data Center Principal:
Remote Office
1
2
3
5
Port:445/tcp
Port:3389/tcp
Windows Server
Terminal server
Caso 2: bitlocker (2)
Red Servidores
UTMFW+ IPS
FileServer
BackupServer
Intranet SQLServer
PortalServer
WAN/MPLS
2
3
5
1.1
1.2
Windows Server
Terminal server
Remote Office
Data Center Principal:
“Los atacantes usan los servicios RDP,
SMB y MSSQL como punto de ingreso”
Por lo tanto:
Servicio Terminal Server: RDP 3389/tcp
CVE-2019-0708 Vulnerabilidad RDP permite Acceso Remoto sin credenciales
Fuente: https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
Bluekeep, exploits..!!
Fuente: https://www.exploit-db.com/
Probar el Bluekeep exploit..
Probar el Bluekeep exploit..
Probar el Bluekeep exploit..
• Definir el alcance del análisis:• Países a evaluar.• Fechas a realizar y cantidad de escaneos
• Obtener las herramientas y probarlas.• Obtener un listado de direcciones IPv4.• Explotar los resultados obtenidos en cuadros resumen.
Requerimientos para el análisis:
• Rangos IPs obtenidos: python getranges.py• https://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest 1• ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest 2• ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest 3
Obtener las Direcciones IPv4:
• Herramientas públicas como masscan [1] y rdpscan [2], ambas herramientas han sido escritas por Robert Graham[3].
• Se realizó un escaneo del puerto 3389/tcp a los rangos de ips obtenidos de las fuentes lacnic, arin y ripe.
• Dichos resultados fueron procesados y empleados con la herramienta rdpscan para obtener la lista de direcciones ips vulnerables.
• Fuentes:•••
Herramientas:
•
Scannings realizados:
Fuente: https://medium.com/@cesarfarro/63-000-hosts-vulnerables-a-bluekeep-cve-2019-0708-en-america-latina-y-españa-en-el-servicio-rdp-9900bc6c9c07
http://www.nirsoft.net/countryip/index.html
Scanning, Hosts Port 3389/tcp:
Scanning, IPs Vulnerables:
Resultados: +63,000 IPs Vulnerables
Variable: CVE-2019-0708
Resultados: +63,000 IPs Vulnerables
• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no
se usa el servicio desactivarlo, limitar su acceso o bloquearlo en el firewall perimetral, no correr el servicio
RDP como Administrador, utilizar el servicio VPN de acceso remoto del firewall.
• Los más de 63,000 Hosts vulnerables pueden ser usados para instalar Ransomware, Virus/Gusanos o
Criptojacking, e inclusive se pueden emplear para realizar movimiento lateral e infectar toda la
redempleando las credenciales recolectadas en ese primer punto de contacto.
• El escaneo podría tener un % de error ya que al momento de realizar el escaneo podría haber sido
bloqueado o mitigado por nuestro proveedor de cloud, enlace de Internet y capacidad del servidor, aunque se
realizaron múltiples pruebas y se obtuvieron resultados similares.
• No necesariamente el 100% de hosts con el puerto 3389/tcp abierto están corriendo el
servicio RDP asociado al Terminal Server, algunas empresas podrían estar corriendo otro servicio.
• Sí algún CERT/CSIRT requiere la lista de Hosts Vulnerables al CVE-2019–0708 se podrían poner en
contacto con Cesar Farro al correo [email protected].
Conclusiones Finales
Autores:
•
Publicación:
•• https://www.linkedin.com/in/cesar-farro-flores/
•• https://www.linkedin.com/in/andres-morales-zamudio-8270381a/