Det finns inga 100 procentigt säkra system. Trots vetskapen om detta exponerar vi långt fler tjänster än vad som är nödvändigt, inte sällan direkt mot Internet. Häpnadsväckande nog exponeras funktioner som RDP (Remote Desktop), som används för att fjärrstyra en Windowsdator, utan några som helst betänkligheter trots att det är tämligen enkelt att klä detta i olika former av åtgärder för att minska exponeringen och därmed risken för oönskade intrång.
Att hitta sårbarheter i tjänster likt RDP är så väl alla säkerhetsforskares som alla illvilligas våta dröm. Microsoft har nyligen släppt en uppdatering för RDP, MS12-020, och därmed kan vi konstatera att någon hittat just denna läckerbit i form av en sårbarhet i RDP. Eftersom sårbarheten kan utnyttjas direkt från nätet, samt att godtycklig kod “kanske” kan köras på angripen maskin för totalt systemövertagande, så har en hetsjakt påbörjats på nätet för att hitta alla tänkbara möjligheter att utnyttja denna sårbarhet.
Precis som alla tjänster i ett operativsystem så brukar det endast vara den tilltänkta användaren som ska nå den publicerade tjänsten. De flesta operativsystem idag har möjlighet att styra denna tilldelning på ett eller annat sätt, exempelvis via brandväggar och/eller olika former av VPN-lösningar, gärna med stark autentisering. Trots dessa möjligheter brukar tjänster som RDP vara åtkomligt från alla interna maskiner och användare på ett internt nät trots att det är ytterst få som kanske har behov av detta. Gällande åtkomst till RDP på datorer kopplade direkt till Internet har Dan Kaminsky genomfört en snabbstudie som visar att ca 8,3 procent av alla skannade IP-adresser svarar på just denna tjänst.
Tre dagar efter att Microsoft släppte uppdateringen dök den första PoC-koden på nätet. Ett troligt scenario är att en fullt fungerande exploitkod med möjlighet till totalt systemövertagande finns tillgängligt på nätet och i de flesta attackverktyg inom 30 dagar efter det att Microsoft släppte lagningen. Samtidigt har Microsoft bekräftat att hemliga kodexempel som kan användas för attacker mot sårbarheter som lagats just vid detta tillfälle har läckt ut på nätet.
Det finns ingen självklarhet i att en uppfunnen exploitkod först publiceras offentligt. Sårbarheten MS08-067, som masken Confiker utnyttjade, visade att koden även användes för att sprida en nätverksmask. Återstår att se om vi lärt oss något efter den maskens härjande som bland annat slog ut stora delar av Region Skåne.
Oavsett den nu uppmärksammade sårbarheten i RDP eller ej, så är det dårskap att exponera dessa läckerheter för Internets alla illvilliga. Det är som bekant bara en tidsfråga innan det just inträffade inträffar. Sannolikt är sårbarheterna sedan länge kända av en mindre krets illvilliga som redan utnyttjat denna och andra sårbarheter under en längre tid för att komma in i alla de system som exponerats. Återigen består Internet av ett smörgåsbord av läckerheter som det bara är att välja och vraka bland. Varför lär vi oss aldrig?
Rickard Fransson & Thomas Nilsson
