RDP › René Büst

Wie sicher sind Cloud Server wirklich? Diese Frage stellt The Hacker News und berichtet von einem RDP Windows Exploit (MS12-020), von dem scheinbar Windows Images der Amazon und Rackspace Cloud betroffen sind.

Tests mit dem Nmap NSE Script „rdp-ms12-020.nse“ haben demnach ergeben, dass alle Rackspace Cloud Images davon standardmäßig betroffen sind. Auf Amazon EC2 sind aktuell alle ungepatchten Windows AMIs und EBS Images vor der Version „2012.03.13“ betroffen, die über die AWS Management Konsole mit den Standard Firewall-Regeln gestartet werden.

Laut The Hacker News haben die Cloud Anbieter zwar Schritte unternommen, um dem MS12-020 Exploit entgegenzuwirken, jedoch soll das nicht ausreichen, um die Kunden zu schützen, was daran liegen soll, dass AWS als auch Rackspace auf Grund ihrer Standard-Sicherheitseinstellungen an dieser Stelle Lücken aufweisen.

So verfügt Amazon EC2 über eine globale Standard „allow RDP“ Firewall-Regel (Port 3389) für alle Kunden, die ihre EC2 Instanzen über die AWS Management Konsole starten. Rackspace hingegen hat für alle seine Cloud Server ein ungesichertes Servicenetz – ein LAN, dass mit keiner Firewall geschützt wird.

Wenn ein weiterer Exploit nun den MS12-020 Exploit ausnutzen würden, könnte es dazu kommen, dass sich die Sicherheitslücke über eine Vielzahl von Servern in der Cloud verteilt.

Nutzer können sich selbst dagegen schützen, indem sie ihre Cloud Server patchen und darauf achten die RDP Firewall-Regeln sicher zu gestalten und alle nicht notwendigen Ports schließen.

Weiterführende Links

Cloudworm – Candidate MS12-020 – POC

Bildquelle: thehackernews.com, ibnlive.in.com

Dieses Tutorial beschreibt das Einrichten einer virtuellen Instanz mit einem Windows Server 2008 AMI (Amazon Machine Image) auf Basis der Amazon Elastic Compute Cloud (Amazon EC2). Dazu gehören die vollständige Einrichtung der Instanz und der anschließende Zugriff per Remote Desktop Verbindung von einem Windows 7 Computer.

Voraussetzungen

Amazon Web Service Account
Amazon EC2 ist für den Account bereits aktiviert
RDP Client

Auswahl, Einrichten und Starten der Instanz

Zuerst öffnen wir die Webseite der Amazon Web Services und melden uns dort an.

Anschließend starten wir die AWS Management Console für EC2.

Hier klicken wir auf Launch Instance.

Ein weiteres Fenster öffnet sich, in dem bereits fertig vor-konfigurierte Amazon Machine Images (AMIs) von Amazon angezeigt werden. Hier wählen wir das erste AMI – Getting Started on Microsoft Windows Server 2008 (AMI Id: ami-a4698bcd)

Nun wählen wir folgende Konfiguration:

Number of Instances: 1
Availability Zone: No Preference
Instance Type: Small (m1.small 1.7 GB)

Als erweiterte Konfiguration wählen wir:

Kernel ID: Use Default
RAM Disk ID: Use Default
Monitoring: Nein

Anschließend erstellen wir ein Schlüsselpaar, hier mit dem Namen clouduser_key und speichern es auf unserem Rechner.

Im nächsten Schritt konfigurieren wir die Firewall, indem wir für unsere AMI eine Security Group erstellen. Die Standardvorgabe ist der externe Zugriff auf die Ports 3389 (RDP), MS SQL Server (1433) und 80 (HTTP). Die Freigaben für den Port 80 und 1433 habe ich entfernt, da wir sie in diesem Fall nicht benötigen. Wir geben der Security Group einen Namen, hier Security_Group_2 und eine Beschreibung, hier RDP_Only und wählen continue.

Danach erhalten wir eine Zusammenfassung unserer Konfiguration, wo wir mittels Launch unsere Instanz starten.

Über Your instances are now launching kommen wir zur Console zurück.

Dort sehen wir, dass unsere soeben erstellte Instanz aktiv ist und wir uns nun mit ihr verbinden können. Dazu notieren wir uns zunächst den Namen in der Spalte Public DNS.

Verbinden mit der Instanz

Um uns mit der Instanz zu verbinden öffnen wir zunächst die Datei mit unserem erstellten Private Key und kopieren den gesamten Inhalt inkl. der Kommentare —–BEGIN RSA PRIVATE KEY—– und —–END RSA PRIVATE KEY—–.

Nun gehen wir zurück zur AWS Management Console, klicken mit der rechten Maustaste auf die Instanz und wählen Get Windows Password

In das Feld Private Key* fügen wir den privaten Schlüssel inkl. der Kommentare —–BEGIN RSA PRIVATE KEY—– und —–END RSA PRIVATE KEY—– ein.

Nach dem Klick auf Decrypt Password wird uns der Benutzername und das Passwort für die Anmeldung an unserer Instanz angezeigt.

Jetzt öffnen wir die Remote Desktop Verbindung und tragen dort den Public DNS Namen ein.

Nach dem Klick auf Verbinden geben wir den Benutzernamen und das Passwort, das wir oben erhalten haben, ein.

Die Verbindung wird hergestellt.

Nun müssen wir noch das Zertifikat unserer Instanz akzeptieren.

Wir sind mit unserer Instanz verbunden.

Beenden der Instanz

Um die Instanz wieder zu beenden gehen wir zurück zu der AWS Management Console klicken mit der rechten Maustaste auf die Instanz und wählen Terminate.

Nach dem Bestätigen wird die Instanz beendet.

In der AWS Management Console ist am gelben Punkt zu sehen, dass die Instanz beendet wird. Das benötigt ein wenig Zeit.