Hvat er Bluekeep, og hvør er í vanda ?

9. juli. 2019

So var aftur vandi á internetinum við einum hugtakandi navni. Hesin hevur fingið eyknevnið Bluekeep. Bluekeep er ein veikleiki í summum stýrisskipanum hjá Microsoft, ið ger, at sníkar kunnu fáa atgongd til telduna hjá tær við fullum rættindum. Veikleikin finst í tøknini, sum vanliga verður nýtt til at geva fjaratgongd (fjernskrivebord).

Um tín telda ikki nýtir Windows, so nýtist tær ikki lesa longur.

Er tú so óheppin, at tú enn nýtir Windows 7, má tú geva hesum gætur, tí teldan hjá tær kann vera óvard móti júst Bluekeep.

Um tú hevur gloymt at spenna trygdarbeltið, tá tú koyrir bil, verður tú mint/ur á hetta við einum ávaringarljóði, ið gerst harðari og harðari, til tú hevur spent beltið. Hetta er í øllum førum í flestu nýggjari bilum. Sjálvsagt skal tú spenna trygdarbeltið, áðrenn tú byrjar at koyra.

Tó at tað átti at verið eins natúrligt at nýta teldu við dagførdari stýrisskipan, sum at nýta trygdarbelti í bili, so er tað ikki altíð líka eyðsæð, tí teldan ávarar ikki eins ljóðliga um, at hon eigur at verða dagførd. Aloftast er talan bert um eini lítil boð niðast í høgra horni, sum sigur, at dagføringar eru tøkar. Flest fólk, ið nýta Windows, hava tó sett telduna til sjálvvirkandi at heinta og leggja dagføringar inn, og hetta er eisini tryggasta loysnin.

Um tú ert í iva, kanst tú trýsta á windowsknøttin, skriva “windows update” og trýsta á Enter. Á síðuni, sum kemur fram, sært tú, um alt er, sum tað eigur, ella um dagføringar skulu leggjast inn. Er tað langt síðani, at teldan er dagførd, kann verða sera trupult at fáa allar dagføringarnar lagdar inn. Nakað sum at vitja tannlæknan við longum millumbilum.

Samanumtikið kanst tú verja teg og tíni móti hesum vandanum við altíð at hava dagførdar teldur.

 

Tann meira tekniski parturin

Bluekeep er ein veikleiki í RDP (CVE-2019-0708), sum varð funnin í mai mánaði í ár.

Microsoft sendi eina dagføring út týsdagin 14. mai. Ikki bert til supporteraðar útgávur men sjálvt til gomlu Windows XP, og Windows Server 2003 útgávurnar.

Tað er møguligt at lesa hvat Microsoft skrivar um Bluekeep her, og heinta dagføringina her

Raktar Windows útgávur:

  • Windows XP
  • Windows 7
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2

 

Nógv álvarsamari enn fyrst hildið

At byrja við varð hildið, at KT fólk fóru at hava góða tíð at dagføra, tí tað at síggja til var torført at gagnnýta veikleikan, og at avleiðingin ‘bert’ var BSOD (blue-screen-of-death).

Men gleðin varð stokkut, tí fleiri fyritøkur innan KT trygd hava longu gjørt PoC (Proof-Of-Concept), ið prógvar nýtslu av veikleikanum, ikki við BSOD sum avleiðing men heilt einfalt rdp login bypass til command prompt við system rættindum. Tá er lagamanni hjá sníkinum.

Ein stutt filmsbrot av einum slíkum PoC sæst her í grein hjá Sophos frá 1.juli, ið endar við áminnigini: ‘Dagfør, áðrenn tú lesur meira!’

 

Støðan í Føroyum

Ein áminning tykist serstakliga viðkomandi at bera fram í hesum sambandi, og tað er, at netumsitarar eiga at lata vera við at opna beinleiðis móti alnetinum fyri RDP samskifti.

Hetta ger tað sjálvandi ómakaleysari og uttan kostnað at umsita servarar heimanífrá, men tað er at leypa upp um garðin, har hann er lægstur og er ótrygg netumsiting. Portskannarar kunnu eisini avdúka, um RDP samskiftið er flutt til tilvildarligt portur.

Fjaratgongd eigur at tryggjast á rættan hátt, t.d. við rdsgateway og MFA (Multi-Factor-Authentication), vpn sambandi ella líknandi.

Sambært leitiamboðnum shodan.io, høvdu, tá henda grein varð skrivað, 37 IP adressur í Føroyum portur 3389 opið móti alnetinum. IP adressur í Føroyum, her verður sipað til country:”FO”.  Talið hevur støðugt verið millum 35 og 45 IP adressur seinastu tvey árini.

Handan fleiri av hesum IP adressunum koyra Windows útgávur, ið eru raktar av Bluekeep veikleikanum. So vónandi hava ábyrgdarhavandi dagført.

Tó at talið av IP adressum, ið svarað á portur 3389 móti alnetinum, kanska er lutfalsliga lægri enn í grannalondunum, mugu vit seta sum mál at sleppa undan slíkum ósketni heilt.