28 Мая, 2019

Около 1 миллиона компьютеров по-прежнему уязвимы для атаки BlueKeep RDP

Владимир Безмалый

Почти 1 миллион систем Windows по-прежнему не исправлены и признаны уязвимыми для недавно обнаруженной критической уязвимости удаленного выполнения кода в протоколе удаленного рабочего стола Windows (RDP) — через две недели после того, как Microsoft выпустила исправление безопасности.

В случае использования уязвимость может позволить злоумышленнику легко вызвать хаос по всему миру, что может быть намного хуже, чем то, что сделали WannaCry и NotPetya в 2017 году.

Атака, обозначенная BlueKeep и отслеженная как CVE-2019-0708, уязвимость затрагивает Windows 2003, XP Windows 7, Windows Server 2008 и 2008 R2 и может автоматически распространяться на незащищенные системы.

Данная уязвимость может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код и получить контроль над целевым компьютером, просто отправив специально созданные запросы в службу удаленных рабочих столов устройства (RDS) через RDP, не требуя какого-либо взаимодействия с пользователем.

Описывая уязвимость BlueKeep как Wormable, которая может позволить вредоносным программам распространяться на уязвимые системы, Microsoft выпустила исправление безопасности для устранения этой уязвимости с помощью своих обновлений , выпущенных в мае 2019 года . Тем не менее, последнее сканирование Интернета, выполненное Робертом Грэмом, главой исследовательской фирмы по вопросам безопасности Errata Security, показало, что, к сожалению, примерно 950 000 общедоступных машин в Интернете уязвимы для ошибки BlueKeep.

Это означает, что даже после выхода исправления для системы безопасности не каждый пользователь и организация развернули его для решения этой проблемы, что создает огромный риск для отдельных лиц и организаций, включая промышленные и медицинские учреждения .

Грэм использовал « rdpscan », инструмент быстрого сканирования, который он построил поверх своего сканера портов массового сканирования, который может сканировать весь Интернет на наличие систем, по-прежнему уязвимых для уязвимости BlueKeep, и обнаружил целых 7 миллионов систем, которые прослушивали порт 3389, из которых около 1 миллиона систем по-прежнему уязвимы.

«Хакеры, вероятно, найдут надежный эксплойт в течение ближайшего месяца или двух и приведут к заражению этих машин», — говорит исследователь.

«Это означает, что, когда червь попадет, он, вероятно, скомпрометирует эти миллионы устройств. Это, вероятно, приведет к такому разрушительному событию, как WannaCry и даже потенциально хуже, так как хакеры с тех пор оттачивали свои навыки, используя эти вещи для вымогателей.»

Уязвимость BlueKeep может привести к хаосу во всем мире, поэтому Microsoft вынуждена выпускать исправления не только для поддерживаемых версий Windows, но также для Windows XP, Windows Vista и Windows Server 2003, которые больше не получают массовую поддержку от компании, но все еще широко распространены.

По словам GreyNoise Intelligence, не только исследователи, злоумышленники и киберпреступники также начали сканирование Интернета на предмет уязвимых систем Windows, чтобы нацелить их на вредоносное ПО.

Однако, к счастью, до сих пор ни один исследователь безопасности еще не опубликовал публично ни один код эксплойта с проверкой концепции для BlueKeep, хотя некоторые из них подтвердили, что успешно разработали работающий эксплойт.

Вы все еще ждете, что я скажу вам, что вы должны делать дальше? Идите и исправьте эту чертову уязвимость, если вы используете одну из них.

Если исправить ошибку в вашей организации невозможно в ближайшее время, вы можете принять следующие меры:

  • Отключите службы RDP, если не требуется.
  • Заблокируйте порт 3389 с помощью брандмауэра или сделайте его доступным только через VPN.
  • Включите проверку подлинности на уровне сети (NLA) — это частичное смягчение, предотвращающее использование любого не прошедшего проверку подлинности злоумышленника.

Оригинал