แจ้งเตือนปัญหาใน Remote Desktop Web Access ใช้เดา Username ได้ ไมโครซอฟต์ไม่แก้ไขแพตช์เพราะไม่ใช่ช่องโหว่

นักวิจัยด้านความปลอดภัย Matt Dunn จาก Raxis ได้เปิดเผยปัญหา Timing attack ใน Remote Desktop (RD) Web Access ของไมโครซอฟต์ซึ่งเป็นเว็บแอปสำหรับฟีเจอร์ Remote desktop ปัญหาดังกล่าวถูกเรียกว่า Timing attack ที่ส่งผลให้ผู้โจมตีสามารถคาดเดาชื่อบัญชีผู้ใช้งานได้

ปัญหาดังกล่าวนั้นเกิดขึ้นในขั้นตอนของการพิสูจน์ตัวตน หากมีการพยายามพิสูจน์ตัวตนด้วยบัญชีผู้ใช้งานที่ไม่มีอยู่จริง ระบบเบื้องหลังของ RD Web Access จะใช้เวลาประมวลผลประมาณ 4000 มิลลิวินาที ในขณะเดียวกันหากมีการใช้ชื่อบัญชีที่มีอยู่จริงแต่รหัสผ่านผิด ระบบเบื้องหลังจะตอบกลับมาโดยใช้เวลาเพียงแค่ประมาณ 232 มิลลิวินาทีเท่านั้น อัตราส่วนความแตกต่างของเวลาในการตอบกลับทำให้ผู้โจมตีสามารถใช้ปัจจัยดังกล่าวในการระบุหาชื่อบัญชีผู้ใช้งานได้ หากผู้โจมตีทราบชื่อของโดเมน Active Directory

ปัญหานี้เกิดขึ้นกับ Windows Server 2016 และ 2019 และมีการพัฒนาโมดูลของ Metasploit ขึ้นมาเพื่อใช้โจมตีแล้วที่ตำแหน่ง auxiliary/scanner/http/rdp_web_login

Raxis ได้มีการรายงานปัญหาดังกล่าวไปยังไมโครซอฟต์ อย่างไรก็ตามอ้างอิงจากไทม์ไลน์การแจ้งช่องโหว่ Microsoft ปฏิเสธที่จะสนับสนุนและแก้ไขปัญหาด้านความปลอดภัยนี้

เราขอแนะนำให้ผู้ดูแลระบบตั้งค่าการเข้าถึง RD Web Access ผ่าน VPN เพื่อให้สามารถควบคุมการเข้าถึงได้, เปิดใช้ ISA หรือเซอร์วิส Microsoft Federation และบังคับให้ RD Web Access ต้องวิ่งผ่านเพื่อลดผลกระทบจากการโจมตี รวมไปถึงเปิดใช้ Multi factor authentication ด้วย

ที่มาFebruary: raxis

Remote Desktop Zero-Day Bug Allows Attackers to Hijack Sessions

พบช่องโหว่ RDP ใหม่ ผู้โจมตีสามารถขโมย Session ได้

พบช่องโหว่ที่ยังไม่แก้ไขใน Microsoft Windows Remote Desktop Protocol (RDP) โดยผู้โจมตีสามารถผ่านหน้า Lock Screen ของฝั่งผู้ใช้งานที่เชื่อมต่ออยู่ได้ ได้รับ CVE-2019-9510 กระทบ Windows 10 ตั้งแต่เวอร์ชัน 1803 และ Windows Server 2019 ในการโจมตีนี้ทำให้ผู้โจมตีสามารถขโมย session แม้ว่าหน้าจอของผู้ใช้งานถูกล็อกอยู่ โดยเกิดจากฟังก์ชั่น Network Level Authentication (NLA) ที่ทำงานไม่ใช่อย่างที่ควรจะเป็น
ช่องโหว่นี้ถูกค้นพบโดย Joe Tammariello จาก Carnegie Mellon University Software Engineering Institute (SEI) โดยทีม CERT/CC ของ Carnegie Mellon University ได้อธิบายขั้นตอนในการโจมตีดังต่อไปนี้
1. User ใช้เครื่องคอมพิวเตอร์ต้นทางเชื่อมต่อกับเครื่องคอมพิวเตอร์ปลายทางที่เป็น Windows 10 เวอร์ชั่น 1803 หรือ Server 2019 ผ่าน RDP
2. User ล็อก Remote Desktop Sessions
3. User เดินไปทำอย่างอื่นโดยปล่อยให้เครื่องต้นทางยังเชื่อมต่อกับเครื่องปลายทาง (เครื่องต้นทางยังเป็น RDP client)
ผู้โจมตีที่สามารถเข้าถึงเครื่องต้นทางที่ไม่มีคนดูแลจะสามารถโจมตีช่องโหว่ดังกล่าวได้ โดยผู้โจมตีต้องทำให้การเชื่อมต่ออินเตอร์เน็ตของเครื่องต้นทางสะดุดเพื่อให้เกิดการ reconnect RDP ไปยังเครื่องคอมพิวเตอร์ปลายทาง ซึ่งเมื่อ reconnect แล้ว ผู้โจมตีจะสามารถควบคุมเครื่องปลายทางได้แม้กว่าเครื่องปลายทางจะถูกล็อกอยู่
โดย Joe Tammariello ได้มีการแจ้งให้กับ Microsoft ทราบถึงปัญหานี้ในวันที่ 19 เมษายน แต่ทางบริษัทก็ยังไม่มีแผนที่จะแก้ไขในเร็ว ๆ นี้
อย่างไรก็ตามผู้ใช้สามารถป้องกันตัวเองได้โดยทำการตัดการเชื่อมต่อ Remote Desktop Sessions จากเครื่องปลายทางก่อนไปทำอย่างอื่น
ทั้งนี้ NLA สามารถใช้เพื่อป้องกันช่วงโหว่ RDP อีกช่องโหว่หนึ่ง คือช่องโหว่ BlueKeep บน Windows 7 และ Windows Server 2008 ได้

bleepingcomputer.

New Fox Ransomware Matrix Variant Tries Its Best to Close All File Handles

ค้นพบ Matrix Ransomware รูปแบบใหม่ เปลี่ยนชื่อไฟล์ที่เข้ารหัสและแก้ไขนามสกุลเป็น .FOX สิ่งที่น่าสนใจสำหรับ ransomware ตัวนี้คือมีการตรวจสอบว่าไฟล์มีการใช้งานอยู่หรือไม่เพื่อทำการเข้ารหัส

Ransomware ตัวนี้ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam โดยจะติดตั้งผ่านคอมพิวเตอร์ที่มีการเปิด Remote Desktop ผ่านการเชื่อมต่อกับอินเทอร์เน็ตจากภายนอก ผู้โจมตีจะสแกน ranges ของ IP เพื่อค้นหาเครื่องเป้าหมายและพยายามสุ่มรหัสผ่าน เมื่อสามารถเข้าถึงคอมพิวเตอร์ได้ จะทำการติดตั้ง ransomware

Fox Ransomware ถูกพัฒนามาจาก Matrix Ransomware ที่จะมีการติดต่อกับ C&C server และแสดงคอนโซลอัพเดตสถานะในการเข้ารหัส มีการวาง batch ไฟล์เพื่อปิดไฟล์ที่เปิดอยู่ทั้งหมดเพื่อทำการเข้ารหัส โดยเริ่มจากการลบ attributes ทั้งหมดออกจากไฟล์, เปลี่ยนแปลงสิทธิ์การเป็นเจ้าของและสุดท้ายใช้ Handle.

Millions of RDP Endpoints Exposed Online and Ready for Bad Things

Rapid 7 เปิดเผยรายงาน ระบบกว่า 7 ล้านระบบยังมีการตั้งค่าโปรโตคอล RDP (Remote Desktop) ที่ไม่ปลอดภัย

โปรโตคอล RDP (Remote Desktop Protocol) ซึ่งให้บริการอยู่ที่พอร์ต TCP 3389 นั้นเป็นเป้าหมายสำคัญที่ผู้โจมตีมักใช้ในการเข้าถึงระบบรวมถึงแพร่กระจายมัลแวร์ เพราะเป็นช่องทางสำคัญที่ผู้โจมตีสามารถควบคุมระบบได้อย่างเบ็ดเสร็จโดยไม่จำเป็นต้องมีการโจมตีที่ซับซ้อน

Rapid 7 เปิดเผยรายงานว่า ระบบทั่วโลกกว่า 7.2 ล้านระบบ ยังคงมีการตั้งค่าการใช้งานโปรโตคอล RDP ที่ไม่ปลอดภัย หลังจากได้มีการทดสอบโดยการสแกนแบบกวาดเมื่อช่วงต้นปี 2017 ที่ผ่านมา ซึ่งหมายความว่ายังคงมีระบบที่เปิดให้ใครก็ได้สามารถพยายาม brute force และเข้าควบคุมได้อีกเป็นจำนวนมาก

อย่างไรก็ตาม Rapid 7 ยังเปิดเผยว่าระบบที่ตรวจพบว่ามีการเปิดใช้งาน RDP นั้นโดยส่วนมากกว่า 83% มีการใช้งานขั้นตอนการพิสูจน์ตัวตนที่ค่อนข้างปลอดภัย โดยมีเพียง 15% เท่านั้นที่ขั้นตอนการพิสูจน์ตัวตนยังไม่มีการเข้ารหัสและ/หรือใช้โปรโตคอลในรุ่นเก่า

อีกปัจจัยหนึ่งที่สำคัญคือการตั้งพาสเวิร์ดที่ระบบส่วนมากยังคงตั้งรหัสผ่านที่มีความแข็งแกร่งน้อยทำให้ง่ายต่อการเข้าถึงระบบ

ที่มา : bleepingcomputer