CHKLST.RU

Почему уязвимость BlueKeep имеет важное значение

отредактировано 18 Sep Раздел: Уязвимости систем и приложений
Помните панику, которая охватила организации по всему миру 12 мая 2017 года, когда машина за машиной отображала экран выкупа WannaCryptor? Что ж, в ближайшие дни, недели или месяцы у нас может случиться аналогичный инцидент, если компании не будут обновлять или иным образом защищать свои старые системы Windows сразу. Причина заключается в BlueKeep, критической уязвимости удаленного выполнения кода (RCE) в службах удаленных рабочих столов, которая может вскоре стать новым средством распространения вредоносных программ. Исправления Microsoft для поддерживаемых, а также некоторых неподдерживаемых операционных систем доступны с 14 мая.

Уязвимость BlueKeep была обнаружена в службах удаленных рабочих столов (также называемых службами терминалов). При успешном использовании в будущем он может разрешить доступ к целевому компьютеру через бэкдор, не требуя учетных данных или взаимодействия с пользователем.

Уязвимость является «крайне опасной». Это означает, что будущие эксплойты могут использовать его для распространения вредоносного ПО внутри или вне сетей аналогично тому, как это было с WannaCryptor.

После выпуска Microsoft этих последних исправлений исследователи в области безопасности смогли создать несколько рабочих доказательств концепции, но на момент написания ни один из них не был опубликован публично, и нет известных случаев использования уязвимости в дикой природе.

Уязвимость, обозначенная как CVE-2019-0708, затрагивает несколько версий операционных систем Microsoft с поддержкой и без поддержки. Пользователи Windows 7, Windows Server 2008 R2 и Windows Server 2008 с автоматическими обновлениями защищены. Microsoft также выпустила специальные обновления для двух не поддерживаемых версий, а именно для Windows XP и Windows Server 2003, которые доступны через этот сайт. Windows 8 и Windows 10 не подвержены этой уязвимости.

Microsoft не выпустила исправления для Windows Vista, несмотря на то, что эта версия также подвержена этой уязвимости. Единственное решение здесь - полностью отключить протокол удаленного рабочего стола (RDP) или разрешить его использование только при доступе через VPN.

Важно отметить, что любая компания, использующая неправильно настроенную RDP через Интернет, подвергает риску своих пользователей и ресурсы. Помимо уязвимостей, таких как BlueKeep, злоумышленники также пытаются грубо взломать компьютеры компании и внутренние системы.

Случай с BlueKeep сильно напоминает события двухлетней давности. 14 марта 2017 года корпорация Майкрософт выпустила исправления для уязвимой уязвимости в протоколе Server Message Block (SMB), посоветовав всем пользователям незамедлительно установить исправления на своих компьютерах с Windows.

Причиной этого стал эксплойт EternalBlue - вредоносный инструмент, предположительно разработанный и украденный из Агентства национальной безопасности (АНБ), - который предназначался для лазейки SMB. Месяц спустя EternalBlue просочился в Интернет и через несколько недель стал средством для двух самых разрушительных кибератак в новейшей истории - WannaCry (ptor) и NotPetya (Diskcoder.C).

Подобный сценарий может разворачиваться с BlueKeep, учитывая его плохую природу. Прямо сейчас, это только вопрос времени, когда кто-то опубликует работающий эксплойт или автор вредоносного ПО начнет продавать его на подпольных рынках. Если это произойдет, это, вероятно, станет очень популярным среди менее квалифицированных киберпреступников, а также выгодным активом для его создателя.

BlueKeep также покажет, извлекли ли организации по всему миру урок после крупных вспышек 2017 года и улучшили ли они свои правила безопасности и процедуры исправления.

Подводя итог, организациям и пользователям рекомендуется:
1. Патч, патч, патч. Если вы или ваша организация используете поддерживаемую версию Windows, обновите ее до последней версии. Если возможно, включите автоматическое обновление. Если вы по-прежнему используете неподдерживаемую Windows XP или Windows Server 2003 - по какой-либо причине - загрузите и примените исправления как можно скорее.

2. Отключить протокол удаленного рабочего стола. Несмотря на то, что сам RDP не является уязвимым, Microsoft рекомендует организации отключать его до тех пор, пока не будут применены последние исправления. Кроме того, чтобы минимизировать поверхность атаки, RDP следует включать только на тех устройствах, где он действительно используется и необходим.

3. Настройте RDP правильно. Если ваша организация обязательно должна использовать RDP, избегайте показа его в общедоступном Интернете. Только устройства в локальной сети или доступ через VPN должны иметь возможность устанавливать удаленный сеанс. Другим вариантом является фильтрация доступа RDP с помощью брандмауэра, который вносит в белый список только определенный диапазон IP-адресов. Безопасность ваших удаленных сеансов может быть улучшена с помощью многофакторной аутентификации.

4. Включить аутентификацию на уровне сети (NLA). BlueKeep может быть частично смягчен включением NLA, так как он требует, чтобы пользователь проходил аутентификацию до того, как будет установлен удаленный сеанс, и уязвимость может быть использована неправильно. Однако, как добавляет Microsoft, «затронутые системы по-прежнему уязвимы для использования удаленного выполнения кода (RCE), если у злоумышленника есть действительные учетные данные, которые можно использовать для успешной аутентификации».

5. Используйте надежное многоуровневое решение для обеспечения безопасности, которое может обнаруживать и смягчать атаки, использующие уязвимость на уровне сети.

https://www.welivesecurity.com/2019/05/22/patch-now-bluekeep-vulnerability/

Тэги темы:

Комментарии

  • отредактировано 10 Oct PM
    Специалисты по информационной безопасности оценили количество доступных онлайн устройств с непропатченной уязвимостью BlueKeep (CVE-2019-0708). По мнению экспертов, под угрозой находится не менее 950 тыс. машин. Эксплойты для удаленного выполнения стороннего кода через этот баг пока не опубликованы, однако аналитики отмечают рост числа сканов, нацеленных на выявление систем с открытым RDP-портом.

    Для того чтобы определить количество уязвимых устройств, ИБ-специалисты применили утилиту masscan, предназначенную для поиска доступных в Сети TCP-портов. Как выяснили исследователи, в данный момент в Интернете насчитывается более 7 млн машин, использующих порт 3389, на котором обычно работает RDP-служба.

    Несмотря на столь внушительную цифру, не все хосты оказались уязвимыми к атакам BlueKeep. Как отмечают исследователи, среди выдачи довольно много «мусора», а также компьютеров с RDP-доступом, не использующих Windows. Тем не менее, повторный анализ полученных результатов позволил выявить следующее:

    Примерно на 1,4 млн Windows-устройств уже установлен патч, решающий проблему.
    Более 1,2 млн компьютеров требуют предварительной аутентификации для доступа к порту 3389 и могут считаться частично защищенными.
    В 82 тыс. случаев на этом порту работает не RDP, а HTTP.
    Почти 950 тыс. компьютеров уязвимы к атакам через BlueKeep.

    https://threatpost.ru/more-than-950000-computers-still-vulnerable-to-bluekeep-bug/32838/

    +
    14 мая Microsoft выпустила патч для исправления критической уязвимости CVE-2019-0708 более известной, как «BlueKeep» - уязвимость в службах удаленных рабочих столов RDS (на более ранних ОС – служба терминалов TS) в ОС Windows, которая позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного кода на атакуемой системе.

    Для эксплуатации этой уязвимости злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым). Важно отметить, что любое вредоносное ПО, использующее эту уязвимость, может перемещаться с одного уязвимого компьютера на другой аналогично шифровальщику WannaCry, который распространился по всему миру в 2017 году.

    Проблема актуальна для Windows 7, Windows Server 2008 R2 и Windows Server 2008, а также Windows 2003 и Windows XP, последняя из которых не поддерживается.

    https://www.infosec.ru/analitika/tekhnicheskaya-analitika/bluekeep-wannacry-vozvrashchaetsya/

  • отредактировано 11 Jun PM
    Во ежемесячном патче Microsoft объявила, что была обнаружена уязвимость в Remote Desktop Services, которая может позволить вредоносному вредоносному ПО, например, вымогателю, легко распространяться через уязвимые системы.

    Эта уязвимость, теперь известная как BlueKeep, получила уникальный идентификатор CVE-2019-0708 и распространяется на Windows 7, Windows 2008 R2, Windows Server 2008, Windows XP и Windows Server 2003. Из-за своей серьезности Microsoft выпустила исправления для всех поддерживаемые версии Windows, а также для Windows XP и Windows Server 2003, которые больше не получали обновления безопасности.

    С тех пор многие поставщики и исследователи безопасности успешно создали экспериментальные эксплойты, которые могут использовать эту уязвимость. Хотя ни один из них не был выпущен, неудивительно, если разработчик вредоносного ПО и субъекты угроз работали над своими собственными эксплойтами.

    Зная, что эксплойт неизбежно будет создан, Microsoft выпустила второе предупреждение, а Агентство национальной безопасности (NSA) выпустило извещение, призывающее пользователей Windows применять исправления.

    Чтобы помочь в этом, исследователи создали инструменты и сценарии, которые можно использовать, чтобы проверить, уязвима ли машина Windows к уязвимости BlueKeep, чтобы их можно было исправлять.

    Ниже мы описали два доступных инструмента.

    Как найти системы Windows, затронутые BlueKeep
    RDPScan Роберт Грэм (Windows / macOS)

    Исследователь безопасности Роб Грэм (Rob Graham) создал программу под названием RDPScan для Windows и macOS, основанную на патче Zdesos0x0 rdesktop.

    Чтобы использовать RDPScan, просто загрузите последнюю версию из раздела релизов проекта. После загрузки вы можете запустить программу из командной строки, используя следующие команды:
    Сканирование одного хоста:
    rdpscan [ip_address]
    rdpscan 192.168.1.29

    Сканирование диапазона IP-адресов:
    rdpscan [start_ip_address] - [end_ip_address]
    rdpscan 192.168.1.29-192.168.1.100

    Сканирование сети с использованием CIDR:
    rdpscan [сеть] / [cidr_notation]
    rdpscan 192.168.1.0/24

    При использовании RDPScan он будет проверять каждый из IP-адресов, чтобы определить, открыт ли порт 3389, а затем определить, уязвим ли компьютер. Чтобы изменить сканируемый порт, вы можете использовать аргумент -p. Вы также можете использовать аргумент --workers, чтобы увеличить скорость сканирования.

    Для получения полного списка аргументов используйте rdpscan -h.

    При сканировании на наличие уязвимости в списке указывается «Безопасный», «Уязвимый» или «Неизвестный». На всех хостах, помеченных как уязвимые, как показано ниже, должны быть установлены соответствующие обновления безопасности.

    https://www.bleepingcomputer.com/news/security/finding-windows-systems-affected-by-bluekeep-remote-desktop-bug/
Войдите или Зарегистрируйтесь чтобы комментировать.