Tusindvis af danskere er i fare for at blive ramt af remote desktop-exploit

24. maj 2019 - Sårbarheden i Microsofts Remote Desktop Protocol, kendt som CVE-2019-0708, kan ramme flere tusinde danskere, hvis der frigives et exploit. Det viser en scanning af danske IP-adresser. Der er tegn på, at flere af systemerne tilhører læger, it-afdelinger, foreninger eller skoler.

Senest opdateret den 6. juni 2019. 

Microsofts ugentlige sikkerhedsopdatering, Patch Tuesday, indeholdt den 14. maj en beskrivelse af en væsentlig sårbarhed, som gør det muligt at udnytte remote desktop-protokollen (RDP), der er en central del af Microsofts infrastruktur. Opdateringen har navnet CVE-2019-0708.

En simpel scanning af åbne porte viser, at der umiddelbart er over 4.100 potentielle ofre i Danmark. Men der kan være langt flere.

Simpel scanning afslører alvorlige sikkerhedshuller

En scanning af de ca. 12,5 millioner danske IPv4-adresser kan laves på blot et par timer via et script og et scanningsprogram som fx Masscan, fortæller Keld Norman, sikkerhedskonsulent i Dubex, der har foretaget scanningen.

"Ved at scanne port 3389, der er en standardport for remote desktop-protokollen, kan man finde, at over 12.600 var åbne," forklarer han. "Ved nærmere undersøgelse, hvor scriptet tog billeder af loginsiden, var det kun 4.150 der svarede – men med et lidt grundigere script, ville der nok komme endnu flere billeder ud af det."

"Jeg er sikker på, at tallet er meget højere, hvis jeg også scanner for port 3390, port 4000 og andre porte, som også er kendte for at være RDP-porte," tilføjer Keld.

(Opdatering den 6. juni 2019: En ny scanning foretaget af Keld viser, at antallet nu er faldet til under 1.000 – men der er stadig 787, som fortsat ikke har patchet.)

Der er dermed tusindvis af systemer med RDP eksponeret til internettet, som gør dem særligt sårbare over for et angreb.

Exploit kan give adgang til kritisk data og infrastruktur

Ved at se på domænenavnene og navnene på loginsiderne for RDP, tegner der sig et grumt billede.

En betydelig del af dem indikerer, at de tilhører personer eller afdelinger, der kan ligge inde med meget kritisk data. Det er bl.a. hostingselskaber og it-afdelinger i virksomheder, men også læger, advokater, skoler – og en udenlandsk ambassade.

"Hvis eller når et exploit frigives og it-kriminelle udnytter det, kan de få adgang til hele systemet og tilgå de filer og netværksdrev, der findes," forklarer Keld. "Potentielt er der risiko for, at de kan få adgang til hele virksomheden eller organisationens netværk og derigennem inficere alle tilknyttede klienter."

"Man kan forestille sig et scenarie, der er meget værre end det vi oplevede med WannaCry eller NotPetya, som blev brugt i angrebet mod Mærsk," uddyber Keld. "Det kan ramme langt flere virksomheder og organisationer samtidigt, da angrebene kan fuldautomatiseres."

Træf foranstaltninger med det samme og hold dig opdateret

Scanningen giver en indikation af, hvor omfattende et problem sårbarheden kan være. Det er med til at understrege nødvendigheden af at træffe de rigtige foranstaltninger. 

Patch det, der kan patches med det samme og følg med i opdateringer omkring IPS-signaturer fra din sikkerhedsleverandør.

Microsofts egen holdning er desuden, at man bør deaktivere de RDP services, som man ikke har akut behov for.

Benytter du RDP-protokollen direkte via internettet til en Microsoft-server uden fx VPN-forbindelse, er det Dubex' holdning, at du bestemt bør overveje at følge dette råd, uanset hvor required det er. Det er generelt Dubex’ anbefaling, at RDP aldrig er direkte på internet.

Generelt er det også grundlæggende vigtigt at bruge to-faktor-login. 

For nærmere information om sårbarheden, hvad du kan gøre, og hvordan du kan holde dig opdateret, se denne artikel