Scanning af alle danske ipv4-adresser viser 787 systemer med Bluekeep-sårbarhed

Der er flere systemer på den danske del af internettet, der endnu ikke har fået patched for Windows-sårbarhed med Wannacry-potentiale.

Selvom Microsoft frigav en patch til en alvorlig sårbarhed i Windows midt i maj-måned, så er der stadig en del systemer, der mangler at patche. Også herhjemme.

En dugfrisk scanning, som sikkerhedskonsulent Keld Norman fra Dubex har lavet af ip-adresser tildelt Danmark, viser, at der findes 787 systemer med Bluekeep-sårbarheden. Scanningen er foretaget omkring 6. juni. Bluekeep kan gøre det muligt for hackere at overtage et sårbart system.

Via værktøjerne masscan og rdpscan har Norman gennemgået, hvad der ifølge ham er samtlige ipv4-adresser tildelt Danmark.

I alt har Keld Norman scannet 12.546.792 ipv4-adresser via automatiserede scripts. Her har han kigget efter, om port 3389 ser ud til at være åben. Det er den port, som Remote Desktop Protocol (RDP) anvender. RDP er kort fortalt en Microsoft-protokol, der kan bruges til at køre et fjernskrivebord i Windows.

Bluekeep-sårbarheden relaterer sig til det, der kaldes Remote Desktop Service, som er en tjeneste i Windows, der kommunikerer via RDP.

I flere ældre udgaver af Windows er der et sikkerhedshul i Remote Desktop Services, som gør det muligt for en angriber af fjerneksekvere vilkårlig kode på et sårbart system uden at afgive autentifikationsoplysninger.

Denne sårbarhed blev patched af Microsoft i midten af maj. Sårbarheden har fået tildelt det formelle id CVE-2019-0708 og tilnavnet Bluekeep. Microsoft selv har været ude og advare mod Bluekeep, som ifølge Windows-producenten kan sammenlignes med den sårbarhed, der muliggjorde det omfattende Wannacry-angreb i 2017.

Sårbarheden findes i flere ældre udgaver af Windows, heriblandt Windows 7, Windows XP og Windows Server 2003. Bluekeep er ikke til stede i Windows 10 og 8.

Flere har patched

Ud af de systemer, som ifølge Keld Normans scanning holder åbent på port 3389, så ser 7.416 ud til faktisk at køre en RDP-tjeneste. Altså muligheden for at logge ind på et Windows-fjernskrivebord.

Og af disse systemer, så fremgår det af scanningen, at 6.629 er patchede og dermed ikke sårbare i forhold til Bluekeep. Tilbage er 787 systemer, som Keld Norman har identificerede som sårbare.

Til sammenligning var der i en tilsvarende scanning, Keld Norman foretog i maj på den danske del af internettet, 1.049 systemer, der var sårbare. Så noget er der tilsyneladende sket i forhold til patching.

Ikke desto mindre, så er 787 systemer for mange, mener Keld Norman. Han henviser til, at et sårbart system kan give adgang til flere andre systemer i en bagvedliggende infrastruktur.

»Man kommer helt ind i infrastrukturen, hvor man kan hugge deres data. Det kunne være dine data, der ligger der. Det kunne være sundhedsdata,« siger Keld Norman.

Han henviser desuden til, at det via VPN-adgang kan være muligt for hackere at få videre adgang fra et kompromitteret system til ellers lukkede systemer hos kunder og samarbejdspartnere. Og hvis eksempelvis en ekstern konsulent får sit system inficeret, så kan det sprede sig, påpeger Norman.

»Konsulenter, det er de værste. Det er sådan nogle som mig, som kommer rundt til alle mulige kunder og får administrator-adgang på deres netværk og adgang til de mest sensitive data,« siger it-sikkerhedskonsulenten.

Drop offentlig RDP

I udgangspunktet mener Keld Norman slet ikke, der burde være adgang fra det åbne internet ind i systemer via RDP. Og derfor er de 7.416 systemer, der jævnfør scanningen eksponerer en RDP-tjeneste også et alt for højt tal, mener Norman.

Han anfører, det i udgangspunktet kun bør være muligt at koble ind på RDP, hvis det sker via en VPN-forbindelse. Altså så alle og enhver ikke har adgang til login-skærmen. Og ellers må der filtreres, så det kun er visse ip-adresser, der kan tilgå fjernskrivebordet.

»Og som minimum, hvis man ikke har skills og viden, så skal man have en eller anden form for blokering, så den ikke vil snakke med nogen andet end den ip-adresse, men kommer fra,« siger Keld Norman.

I forbindelse med scanningen har Keld Norman visualiseret login-vinduet for flere af de systemer, der eksponerer en RDP-tjeneste. Og her har der ifølge Keld Norman blandt andet været login-skærme tilhørende tandlæger, revisor-firmaer og skoler. Keld Norman har ikke testet specifikt for, om disse systemer faktisk er sårbare i forhold til Bluekeep.

Han nøjes med at konstatere, at de har en RDP-tjeneste eksponeret ud mod nettet.

»Det er stadig dumt,« siger Norman og påpeger, at hackernes øjne i lyset af Bluekeep er rettet mod RDP.

Den amerikanske efterretningstjeneste NSA har så sent som i denne uge i en meddelelse været ud og advare om Bluekeep.

»Det er sandsynligvis kun et spørgsmål om tid, før der er kode tilgængelig, der kan udnytte denne sårbarhed. NSA er bekymret over, at ondsindede aktører vil bruge sårbarheden i ransomware og andre værktøjer, der i forvejen udnytter kendte sikkerhedshuller, for at øge angrebsmulighederne mod andre systemer, der ikke er opdaterede,« skriver NSA i meddelelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lasse Mølgaard

Alene det faktum at det muligt at scanne hele IPv4 rangen for at lede efter sårbare maskiner, burde være argument nok i sig selv til at implementere IPv6.

Der er trods alt en hel del forskel på at skulle scanne 2^9 adresser vs minimum 2^96 adresser (hvis ellers jeg forstod RIPEs dokument omkring IPv6 allokation korrekt).

Så om ikke andet kan man få en vis form for sikkerhed igennem security by obscurity.

  • 2
  • 1
Henrik Størner

Der er trods alt en hel del forskel på at skulle scanne 2^9 adresser vs minimum 2^96 adresser (hvis ellers jeg forstod RIPEs dokument omkring IPv6 allokation korrekt).

I teorien korrekt, men praksis viser at der er nogle klare tendenser omkring hvordan administratorer tildeler adresser i IPv6. Der er sågar RFC 7707 som beskriver problemet: https://tools.ietf.org/html/rfc7707

Langt de fleste offentligt tilgængelige services på et IPv6 netværk ligger i et meget mindre adresserum and 2^96.

  • 2
  • 0
Lasse Mølgaard

Langt de fleste offentligt tilgængelige services på et IPv6 netværk ligger i et meget mindre adresserum and 2^96.

Så er det at der går en smule nørd i den hos mig om hvordan man kan lave noget security by obscurity med udgangspunkt i historien om Alice i Eventyrland.

Brugerne af RDP / SMB / whatever skal "følge den hvide kanin".

Det er vist min bedste beskrivelse af hvad jeg pønser på. :-)

  • 1
  • 0
Log ind eller Opret konto for at kommentere