Почему уязвимость BlueKeep имеет важное значение
Помните панику, которая охватила организации по всему миру 12 мая 2017 года, когда машина за машиной отображала экран выкупа WannaCryptor? Что ж, в ближайшие дни, недели или месяцы у нас может случиться аналогичный инцидент, если компании не будут обновлять или иным образом защищать свои старые системы Windows сразу. Причина заключается в BlueKeep, критической уязвимости удаленного выполнения кода (RCE) в службах удаленных рабочих столов, которая может вскоре стать новым средством распространения вредоносных программ. Исправления Microsoft для поддерживаемых, а также некоторых неподдерживаемых операционных систем доступны с 14 мая.
Уязвимость BlueKeep была обнаружена в службах удаленных рабочих столов (также называемых службами терминалов). При успешном использовании в будущем он может разрешить доступ к целевому компьютеру через бэкдор, не требуя учетных данных или взаимодействия с пользователем.
Уязвимость является «крайне опасной». Это означает, что будущие эксплойты могут использовать его для распространения вредоносного ПО внутри или вне сетей аналогично тому, как это было с WannaCryptor.
После выпуска Microsoft этих последних исправлений исследователи в области безопасности смогли создать несколько рабочих доказательств концепции, но на момент написания ни один из них не был опубликован публично, и нет известных случаев использования уязвимости в дикой природе.
Уязвимость, обозначенная как CVE-2019-0708, затрагивает несколько версий операционных систем Microsoft с поддержкой и без поддержки. Пользователи Windows 7, Windows Server 2008 R2 и Windows Server 2008 с автоматическими обновлениями защищены. Microsoft также выпустила специальные обновления для двух не поддерживаемых версий, а именно для Windows XP и Windows Server 2003, которые доступны через этот сайт. Windows 8 и Windows 10 не подвержены этой уязвимости.
Microsoft не выпустила исправления для Windows Vista, несмотря на то, что эта версия также подвержена этой уязвимости. Единственное решение здесь - полностью отключить протокол удаленного рабочего стола (RDP) или разрешить его использование только при доступе через VPN.
Важно отметить, что любая компания, использующая неправильно настроенную RDP через Интернет, подвергает риску своих пользователей и ресурсы. Помимо уязвимостей, таких как BlueKeep, злоумышленники также пытаются грубо взломать компьютеры компании и внутренние системы.
Случай с BlueKeep сильно напоминает события двухлетней давности. 14 марта 2017 года корпорация Майкрософт выпустила исправления для уязвимой уязвимости в протоколе Server Message Block (SMB), посоветовав всем пользователям незамедлительно установить исправления на своих компьютерах с Windows.
Причиной этого стал эксплойт EternalBlue - вредоносный инструмент, предположительно разработанный и украденный из Агентства национальной безопасности (АНБ), - который предназначался для лазейки SMB. Месяц спустя EternalBlue просочился в Интернет и через несколько недель стал средством для двух самых разрушительных кибератак в новейшей истории - WannaCry (ptor) и NotPetya (Diskcoder.C).
Подобный сценарий может разворачиваться с BlueKeep, учитывая его плохую природу. Прямо сейчас, это только вопрос времени, когда кто-то опубликует работающий эксплойт или автор вредоносного ПО начнет продавать его на подпольных рынках. Если это произойдет, это, вероятно, станет очень популярным среди менее квалифицированных киберпреступников, а также выгодным активом для его создателя.
BlueKeep также покажет, извлекли ли организации по всему миру урок после крупных вспышек 2017 года и улучшили ли они свои правила безопасности и процедуры исправления.
Подводя итог, организациям и пользователям рекомендуется:
https://www.welivesecurity.com/2019/05/22/patch-now-bluekeep-vulnerability/
Уязвимость BlueKeep была обнаружена в службах удаленных рабочих столов (также называемых службами терминалов). При успешном использовании в будущем он может разрешить доступ к целевому компьютеру через бэкдор, не требуя учетных данных или взаимодействия с пользователем.
Уязвимость является «крайне опасной». Это означает, что будущие эксплойты могут использовать его для распространения вредоносного ПО внутри или вне сетей аналогично тому, как это было с WannaCryptor.
После выпуска Microsoft этих последних исправлений исследователи в области безопасности смогли создать несколько рабочих доказательств концепции, но на момент написания ни один из них не был опубликован публично, и нет известных случаев использования уязвимости в дикой природе.
Уязвимость, обозначенная как CVE-2019-0708, затрагивает несколько версий операционных систем Microsoft с поддержкой и без поддержки. Пользователи Windows 7, Windows Server 2008 R2 и Windows Server 2008 с автоматическими обновлениями защищены. Microsoft также выпустила специальные обновления для двух не поддерживаемых версий, а именно для Windows XP и Windows Server 2003, которые доступны через этот сайт. Windows 8 и Windows 10 не подвержены этой уязвимости.
Microsoft не выпустила исправления для Windows Vista, несмотря на то, что эта версия также подвержена этой уязвимости. Единственное решение здесь - полностью отключить протокол удаленного рабочего стола (RDP) или разрешить его использование только при доступе через VPN.
Важно отметить, что любая компания, использующая неправильно настроенную RDP через Интернет, подвергает риску своих пользователей и ресурсы. Помимо уязвимостей, таких как BlueKeep, злоумышленники также пытаются грубо взломать компьютеры компании и внутренние системы.
Случай с BlueKeep сильно напоминает события двухлетней давности. 14 марта 2017 года корпорация Майкрософт выпустила исправления для уязвимой уязвимости в протоколе Server Message Block (SMB), посоветовав всем пользователям незамедлительно установить исправления на своих компьютерах с Windows.
Причиной этого стал эксплойт EternalBlue - вредоносный инструмент, предположительно разработанный и украденный из Агентства национальной безопасности (АНБ), - который предназначался для лазейки SMB. Месяц спустя EternalBlue просочился в Интернет и через несколько недель стал средством для двух самых разрушительных кибератак в новейшей истории - WannaCry (ptor) и NotPetya (Diskcoder.C).
Подобный сценарий может разворачиваться с BlueKeep, учитывая его плохую природу. Прямо сейчас, это только вопрос времени, когда кто-то опубликует работающий эксплойт или автор вредоносного ПО начнет продавать его на подпольных рынках. Если это произойдет, это, вероятно, станет очень популярным среди менее квалифицированных киберпреступников, а также выгодным активом для его создателя.
BlueKeep также покажет, извлекли ли организации по всему миру урок после крупных вспышек 2017 года и улучшили ли они свои правила безопасности и процедуры исправления.
Подводя итог, организациям и пользователям рекомендуется:
1. Патч, патч, патч. Если вы или ваша организация используете поддерживаемую версию Windows, обновите ее до последней версии. Если возможно, включите автоматическое обновление. Если вы по-прежнему используете неподдерживаемую Windows XP или Windows Server 2003 - по какой-либо причине - загрузите и примените исправления как можно скорее.
2. Отключить протокол удаленного рабочего стола. Несмотря на то, что сам RDP не является уязвимым, Microsoft рекомендует организации отключать его до тех пор, пока не будут применены последние исправления. Кроме того, чтобы минимизировать поверхность атаки, RDP следует включать только на тех устройствах, где он действительно используется и необходим.
3. Настройте RDP правильно. Если ваша организация обязательно должна использовать RDP, избегайте показа его в общедоступном Интернете. Только устройства в локальной сети или доступ через VPN должны иметь возможность устанавливать удаленный сеанс. Другим вариантом является фильтрация доступа RDP с помощью брандмауэра, который вносит в белый список только определенный диапазон IP-адресов. Безопасность ваших удаленных сеансов может быть улучшена с помощью многофакторной аутентификации.
4. Включить аутентификацию на уровне сети (NLA). BlueKeep может быть частично смягчен включением NLA, так как он требует, чтобы пользователь проходил аутентификацию до того, как будет установлен удаленный сеанс, и уязвимость может быть использована неправильно. Однако, как добавляет Microsoft, «затронутые системы по-прежнему уязвимы для использования удаленного выполнения кода (RCE), если у злоумышленника есть действительные учетные данные, которые можно использовать для успешной аутентификации».
5. Используйте надежное многоуровневое решение для обеспечения безопасности, которое может обнаруживать и смягчать атаки, использующие уязвимость на уровне сети.
https://www.welivesecurity.com/2019/05/22/patch-now-bluekeep-vulnerability/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
https://threatpost.ru/more-than-950000-computers-still-vulnerable-to-bluekeep-bug/32838/
+
https://www.infosec.ru/analitika/tekhnicheskaya-analitika/bluekeep-wannacry-vozvrashchaetsya/
Эта уязвимость, теперь известная как BlueKeep, получила уникальный идентификатор CVE-2019-0708 и распространяется на Windows 7, Windows 2008 R2, Windows Server 2008, Windows XP и Windows Server 2003. Из-за своей серьезности Microsoft выпустила исправления для всех поддерживаемые версии Windows, а также для Windows XP и Windows Server 2003, которые больше не получали обновления безопасности.
С тех пор многие поставщики и исследователи безопасности успешно создали экспериментальные эксплойты, которые могут использовать эту уязвимость. Хотя ни один из них не был выпущен, неудивительно, если разработчик вредоносного ПО и субъекты угроз работали над своими собственными эксплойтами.
Зная, что эксплойт неизбежно будет создан, Microsoft выпустила второе предупреждение, а Агентство национальной безопасности (NSA) выпустило извещение, призывающее пользователей Windows применять исправления.
Чтобы помочь в этом, исследователи создали инструменты и сценарии, которые можно использовать, чтобы проверить, уязвима ли машина Windows к уязвимости BlueKeep, чтобы их можно было исправлять.
Ниже мы описали два доступных инструмента.
Как найти системы Windows, затронутые BlueKeep
RDPScan Роберт Грэм (Windows / macOS)
Исследователь безопасности Роб Грэм (Rob Graham) создал программу под названием RDPScan для Windows и macOS, основанную на патче Zdesos0x0 rdesktop.
Чтобы использовать RDPScan, просто загрузите последнюю версию из раздела релизов проекта. После загрузки вы можете запустить программу из командной строки, используя следующие команды:
Сканирование одного хоста:
Сканирование диапазона IP-адресов:
Сканирование сети с использованием CIDR:
При использовании RDPScan он будет проверять каждый из IP-адресов, чтобы определить, открыт ли порт 3389, а затем определить, уязвим ли компьютер. Чтобы изменить сканируемый порт, вы можете использовать аргумент -p. Вы также можете использовать аргумент --workers, чтобы увеличить скорость сканирования.
Для получения полного списка аргументов используйте rdpscan -h.
При сканировании на наличие уязвимости в списке указывается «Безопасный», «Уязвимый» или «Неизвестный». На всех хостах, помеченных как уязвимые, как показано ниже, должны быть установлены соответствующие обновления безопасности.
https://www.bleepingcomputer.com/news/security/finding-windows-systems-affected-by-bluekeep-remote-desktop-bug/
Уязвимость BlueKeep (CVE-2019-0708) до настоящего времени не вызывала широкомасштабного хаоса, и мы рассмотрим причины, по которым она все еще находится на очень ранней стадии жизненного цикла эксплуатации. Факт остается фактом, что многие системы все еще не исправлены, и все еще можно найти полностью исправленную версию эксплойта. Из-за этих факторов ESET создала бесплатную утилиту для проверки уязвимости системы.
https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetbluekeepchecker.exe
Существует множество серверов, работающих под управлением различных версий серверных операционных систем Microsoft Windows, которые напрямую подключены к Интернету, что практически не обеспечивает безопасности доступа к ним.
Что такое RDP?
RDP, сокращение от «Протокол удаленного рабочего стола», позволяет одному компьютеру подключаться к другому компьютеру по сети, чтобы использовать его удаленно. В домене компьютеры с операционной системой Windows Client, такой как Windows XP или Windows 10, поставляются с предустановленным клиентским программным обеспечением RDP как часть операционной системы, которая позволяет им подключаться к другим компьютерам в сети, включая сервер организации ( с).
Сегодня, обычно к пользователям RDP относятся системные администраторы, выполняющие удаленное администрирование серверов, а также удаленные работники, которые могут подключаться к виртуализированным настольным компьютерам внутри домена своей организации.
За последние несколько лет в ESET наблюдают рост числа случаев, когда злоумышленники подключались к Интернету с помощью RDP удаленно к Windows Server через Интернет и входили в систему как администратор компьютера. После того, как злоумышленники войдут на сервер как администратор. Далее, они выполняют различные действия:
Уязвимость BlueKeep позволяет злоумышленникам запускать произвольный программный код на компьютерах своих жертв. Поскольку они могут использовать автоматизированные инструменты для атак, эта атака может распространяться автоматически по сетям без какого-либо вмешательства пользователей, как Win32 / Diskcoder.C ( ака NotPetya) и Conficker в прошлом.
В начале сентября Rapid7, разработчик инструмента Metasploit, объявил о выпуске эксплойта BlueKeep. Несмотря на то, что в течение следующих нескольких месяцев не было зарегистрировано заметного увеличения активности BlueKeep, в последнее время ситуация изменилась. В начале ноября, как отмечают ZDNet и WIRED, стали доступны массовые сообщения об эксплуатации BlueKeep. По сообщениям, атаки были менее чем успешными: около 91% уязвимых компьютеров вылетали с ошибкой остановки (так называемая проверка ошибок или синий экран смерти), когда злоумышленник пытается использовать уязвимость BlueKeep. Однако на оставшихся 9% уязвимых компьютеров эти злоумышленники успешно установили программное обеспечение для криптомайнинга Monero.
Защита от злоумышленников, атакующих RDP
Итак, учитывая все это, что вы можете сделать? Ну, во-первых, очевидно, чтобы прекратить подключение напрямую к вашим серверам через Интернет с помощью RDP. Поддержка Windows Server 2008 и Windows 7 заканчивается в январе 2020 года, наличие компьютеров под управлением этих компьютеров и их прямой доступ через RDP через Интернет представляет собой риск для вашего бизнеса, который вы уже должны планировать снизить.
Это не означает, что вам необходимо немедленно прекратить использование RDP, но вам необходимо предпринять дополнительные шаги, чтобы обезопасить его как можно скорее и как можно быстрее. С этой целью мы создали таблицу с десятью основными шагами, которые вы можете предпринять, чтобы начать защищать свои компьютеры от атак на основе RDP.
Использование средства проверки уязвимости ESET BlueKeep (CVE-2019-0708)
ESET выпустила бесплатный инструмент BlueKeep (CVE-2019-0708), чтобы проверить, уязвим ли компьютер под управлением Windows. На момент публикации инструмент можно загрузить с:
При запуске программа сообщит, уязвима ли система для эксплуатации BlueKeep или нет. В случае уязвимости системы инструмент переместит пользователя на веб-страницу, чтобы загрузить соответствующий патч на веб-сайте Microsoft.
подробнее здесь:
https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-internet/
p.s.
Windows Server 2008 R2: Почему нужно пользоваться проверкой подлинности на уровне сети
http://www.oszone.net/18001/