RCE y PoC (Denial-of-Service) para vulnerabilidad crítica en Windows RDP Gateway

El investigador de seguridad danés Ollypwn ha publicado un exploit de denegación de servicio de prueba de concepto (PoC) para las fallas CVE-2020-0609 y CVE-2020-0610 que afectan el componente Remote Desktop Gateway (RD Gateway) en Windows Server (2012, 2012 R2, 2016, y 2019). Una vulnerabilidad (CVE-2020-0601) crítica en el proceso de validación de certificados que realiza Windows 10 y Windows Server 2016/2019.  Luca Marcelli también descubrió un exploit de ejecución remota de código (RCE) para Windows Remote Desktop Gateway (RD Gateway), todavía no publicado.

Se ha revelado una nueva vulnerabilidad relacionada con Remote Desktop Gatewat (RD Gateway, piense en RDP)

Servidores afectados: 2012, 2012 R2, 2016 y 2019.

U nueva vulnerabilidad lanzada hace 13 días por Microsoft, CVE-2020-0609 y 0610. La vulnerabilidad hace que un usuario no autenticado tenga la capacidad de ejecutar código en un sistema remoto. Ya se han lanzado dos pruebas de conceptos (un ataque de DOS) a Github, con un video de explotación funcional en Twitter. El exploit ha sido apodado "BlueGate", una obra de BlueKeep, una vulnerabilidad en el PDR que también permitió RCE.

El exploit se basa en un mal manejo en la sección de código que maneja UDP para RDG. HTTP y HTTPS (que también son compatibles con RD) parecen estar a salvo de exploit.

• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-061

Según advierte el Centro de Respuesta de Seguridad de Microsoft, la explotación de estos fallos (CVE-2020-0609 y CVE-2020-0610) posibilitarían a un actor malicioso instalar programas, ver, modificar o incluso eliminar información o hasta crear nuevas cuentas con permisos completos. De acuerdo a la valoración que hace Microsoft, estos fallos son aún más severos que la vulnerabilidad CVE-2020-0601

RDP, abreviatura de Remote Desktop Protocol, en español Protocolo de Escritorio Remoto, permite que una computadora se conecte a otra computadora a través de una red para usarla de forma remota. En un dominio, las computadoras que ejecutan un sistema operativo Windows Client, como Windows XP o Windows 10, vienen con un software cliente RDP preinstalado como parte del sistema operativo, que les permite conectarse a otras computadoras en la red, incluidos los servidores de la organización. Una conexión a un servidor en este caso significa que podría ser directamente al sistema operativo del servidor, o podría ser a un sistema operativo que esté corriendo dentro de una máquina virtual en ese servidor. Desde esa conexión, una persona puede abrir directorios, descargar y cargar archivos y ejecutar programas, como si estuviera usando el teclado y el monitor conectados a ese servidor.

Vulnerabilidad BlueGate Windows RDP

Si se explotan con éxito, las dos vulnerabilidades podrían permitir a los atacantes no autenticados ejecutar código arbitrario en un sistema vulnerable.


RD Gateway se usa para proteger servidores de escritorio remoto en redes internas desde conexiones de Internet y solo para permitir que los que se autentican con éxito en la puerta de enlace lleguen al servidor. Las dos vulnerabilidades, denominadas colectivamente BlueGate por Ollypwn, fueron parcheadas por Microsoft el pasado 14 de enero, y ambas fueron calificadas como críticas.

PoC

• https://github.com/ollypwn/BlueGate
• https://github.com/ioncodes/BlueGate
• https://github.com/MalwareTech/RDGScanner 

Además de la capacidad de activar un estado de denegación de servicio en sistemas no parcheados, la PoC del investigador también viene con un escáner incorporado para verificar si un host es vulnerable a los intentos de explotación CVE-2020-0609 y CVE-2020-0610. Otro investigador de seguridad, Marcus Hutchins, también compartió un escáner para verificar las mismas fallas.

Aunque todavía no hay signos de que los atacantes escaneen activamente en busca de servidores de Gateway RDP vulnerables, se puede acceder a más de 15.500 de ellos a través de Internet de acuerdo con un escaneo de Shodan dirigido a servidores con el puerto UDP 3391 abierto. Esto significa que hay miles de objetivos potenciales para un atacante que logra crear un exploit de RCE que funcione.

Para defenderse de posibles ataques futuros dirigidos a servidores RD Gateway sin parches, deben instalar las actualizaciones de seguridad que Microsoft emitió este mes, disponibles para descargar desde aquí and aquí.

Mitigación

En los sistemas donde el parche no se puede instalar, exiten medidas de mitigación para bloquear los intentos de explotación de BlueGate. "Simplemente se puede deshabilitar el transporte UDP, (generalmente en el puerto 3391) y eso ya es suficiente para evitar la explotación", dijo Hutchins en un análisis de las fallas publicado a principios de este mes. "Esto se debe a que, si bien RDG admite los protocolos HTTP, HTTPS y UDP [...] las vulnerabilidades solo existen en el código responsable de manejar UDP".

Fuentes:
https://blog.segu-info.com.ar/2020/01/exploit-dos-y-poc-para-vulnerabilidad.html
https://www.welivesecurity.com/la-es/2019/12/23/por-que-desconectar-rdp-internet-evitar-victima-ataque/