Fecha: Setiembre 2019

Objetivo del Estudio:•

•• https://www.linkedin.com/in/cesar-farro-flores/

•• https://www.linkedin.com/in/andres-morales-zamudio-8270381a/

Autores:

•

Publicación:

Who am I: ••

•

•

•

•https://medium.com/@cesarfarro

Objetivo del Estudio:

•

Antecedente:

1)

2)

¿Por qué analizar la seguridad del servicio RDP Terminal Server?

Case 1: Ransomware .arrow

Case 1: Ransomware .arrow

Case 1: Revision of firewall logs: Time Threat

TypeRiskLevel

Threat ID

ThreatName

Source Region

Application Protocol Dst Region

28/04/2018 03:28

Intrusion Low 10001127 RDP Local Account Brute-force Attempt

Russian Federation185.156.177.4

RDP TCP Peru

28/04/2018 03:28:59

Intrusion Low 1000078 Microsoft SQL Server Authentication Brute-force Attempt

HaiKou112.67.5.223

MS_SQLServer TCP Peru

28/04/2018 03:28:59

Intrusion Low 1000078 Microsoft SQL Server Authentication Brute-force Attempt

HaiKou112.67.5.223

MS_SQLServer TCP Peru

28/04/2018 18:13:15

Intrusion Low 370090 Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow Vulnerability

UnitedKingdom194.72.112.130

HTTP TCP Peru

28/04/2018 18:13:16

Intrusion Low 403702 Oracle WebLogic Server WorkContextXmlInputAdapter Insecure Deserialization

UnitedKingdom194.72.112.130

HTTP TCP Peru

Source: Firewall and IPS

Case 1: Revision of firewalls logs:

Source: Firewall and IPS

Case 1: Hospital Ransomware .arrow

Windows Server Terminal server

Entorno de red:1. Microsoft Terminal Server

and Data Base SQL ambos publicados a Internet.

2. Reglas incorrectamente configuradas en el firewall: “Any Any Any”.

Win ServerData Base SQL

Atacante

1

2

Port:3389/tcp

Case 2: bitlocker infected 10 Servers

Case 2: bitlocker infected 10 Servers

Case 2: bitlocker (1)

LAN Servers

UTMFW+ IPS

FileServer

BackupServer

Intranet SQLServer

PortalServer

WAN/MPLS

LAN Servidores y PCS

BackupServer

FileServer

Controles implementados:------

Data Center Principal:

Remote Office

1

2

3

5

Port:445/tcp

Port:3389/tcp

Windows Server

Terminal server

Caso 2: bitlocker (2)

Red Servidores

UTMFW+ IPS

FileServer

BackupServer

Intranet SQLServer

PortalServer

WAN/MPLS

2

3

5

1.1

1.2

Windows Server

Terminal server

Remote Office

Data Center Principal:

“Los atacantes usan los servicios RDP,

SMB y MSSQL como punto de ingreso”

Por lo tanto:

Servicio Terminal Server: RDP 3389/tcp

CVE-2019-0708 Vulnerabilidad RDP permite Acceso Remoto sin credenciales

Fuente: https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

Bluekeep, exploits..!!

Fuente: https://www.exploit-db.com/

Probar el Bluekeep exploit..

Probar el Bluekeep exploit..

Probar el Bluekeep exploit..

• Definir el alcance del análisis:• Países a evaluar.• Fechas a realizar y cantidad de escaneos

• Obtener las herramientas y probarlas.• Obtener un listado de direcciones IPv4.• Explotar los resultados obtenidos en cuadros resumen.

Requerimientos para el análisis:

• Rangos IPs obtenidos: python getranges.py• https://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest 1• ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest 2• ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest 3

Obtener las Direcciones IPv4:

• Herramientas públicas como masscan [1] y rdpscan [2], ambas herramientas han sido escritas por Robert Graham[3].

• Se realizó un escaneo del puerto 3389/tcp a los rangos de ips obtenidos de las fuentes lacnic, arin y ripe.

• Dichos resultados fueron procesados y empleados con la herramienta rdpscan para obtener la lista de direcciones ips vulnerables.

• Fuentes:•••

Herramientas:

•

Scannings realizados:

Fuente: https://medium.com/@cesarfarro/63-000-hosts-vulnerables-a-bluekeep-cve-2019-0708-en-america-latina-y-españa-en-el-servicio-rdp-9900bc6c9c07

http://www.nirsoft.net/countryip/index.html

Scanning, Hosts Port 3389/tcp:

Scanning, IPs Vulnerables:

Resultados: +63,000 IPs Vulnerables

Variable: CVE-2019-0708

Resultados: +63,000 IPs Vulnerables

• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no

se usa el servicio desactivarlo, limitar su acceso o bloquearlo en el firewall perimetral, no correr el servicio

RDP como Administrador, utilizar el servicio VPN de acceso remoto del firewall.

• Los más de 63,000 Hosts vulnerables pueden ser usados para instalar Ransomware, Virus/Gusanos o

Criptojacking, e inclusive se pueden emplear para realizar movimiento lateral e infectar toda la

redempleando las credenciales recolectadas en ese primer punto de contacto.

• El escaneo podría tener un % de error ya que al momento de realizar el escaneo podría haber sido

bloqueado o mitigado por nuestro proveedor de cloud, enlace de Internet y capacidad del servidor, aunque se

realizaron múltiples pruebas y se obtuvieron resultados similares.

• No necesariamente el 100% de hosts con el puerto 3389/tcp abierto están corriendo el

servicio RDP asociado al Terminal Server, algunas empresas podrían estar corriendo otro servicio.

• Sí algún CERT/CSIRT requiere la lista de Hosts Vulnerables al CVE-2019–0708 se podrían poner en

contacto con Cesar Farro al correo cesar.farro@telefonica.com.

Conclusiones Finales

Autores:

•

Publicación:

•• https://www.linkedin.com/in/cesar-farro-flores/

•• https://www.linkedin.com/in/andres-morales-zamudio-8270381a/