BlueKeep ( CVE - 2019-0708) — уязвимость безопасности , обнаруженная в реализации протокола удаленного рабочего стола (RDP) Microsoft , которая допускает возможность удаленного выполнения кода .
Впервые сообщено в мае 2019 года, он присутствует во всех неисправленных версиях Microsoft Windows на базе Windows NT от Windows 2000 до Windows Server 2008 R2 и Windows 7. Microsoft выпустила исправление безопасности (включая внеполосное обновление для нескольких версий Windows, срок службы которых истек, таких как Windows XP ) 14 мая 2019 года. 13 августа 2019 года сообщалось, что связанные уязвимости безопасности BlueKeep, совместно именуемые DejaBlue , затрагивают более новые версии Windows, включая Windows 7 и все последние версии операционной системы вплоть до Windows 10 , а также более старые версии Windows. [3] 6 сентября 2019 года было объявлено о выпуске в открытый доступ эксплойта Metasploit уязвимости безопасности BlueKeep , способной вызывать червей . [4]
Уязвимость безопасности BlueKeep была впервые отмечена Национальным центром кибербезопасности Великобритании [2] и 14 мая 2019 года о ней сообщила компания Microsoft . Эксперт по компьютерной безопасности Кевин Бомонт назвал уязвимость BlueKeep в Twitter. BlueKeep официально отслеживается как: CVE- 2019-0708 и является уязвимостью удаленного выполнения кода , способной стать червем . [ 5] [6]
И Агентство национальной безопасности США (которое выпустило собственное предупреждение об этой уязвимости 4 июня 2019 года) [7] , и Microsoft заявили, что эта уязвимость потенциально может быть использована самораспространяющимися червями , при этом Microsoft (основываясь на оценке исследователя безопасности, что почти 1 миллион устройств были уязвимы) заявила, что такая теоретическая атака может иметь аналогичный масштаб с атаками на основе EternalBlue , такими как NotPetya и WannaCry . [8] [9] [7]
В тот же день, когда был опубликован бюллетень АНБ, исследователи Координационного центра CERT раскрыли отдельную проблему безопасности, связанную с RDP, в обновлении Windows 10 May 2019 Update и Windows Server 2019 , сославшись на новое поведение, при котором учетные данные для входа в систему RDP Network Level Authentication (NLA) кэшируются в клиентской системе, и пользователь может автоматически восстановить доступ к своему RDP-подключению, если его сетевое подключение прервано. Microsoft отклонила эту уязвимость как преднамеренное поведение, и ее можно отключить с помощью групповой политики . [10]
По состоянию на 1 июня 2019 года ни одно активное вредоносное ПО для уязвимости, по-видимому, не было публично известно; однако, могли быть доступны нераскрытые коды доказательства концепции (PoC), эксплуатирующие уязвимость. [8] [11] [12] [ 13] 1 июля 2019 года Sophos , британская компания по безопасности, сообщила о рабочем примере такого PoC, чтобы подчеркнуть срочную необходимость исправления уязвимости. [14] [15] [16] 22 июля 2019 года докладчик на конференции из китайской компании по безопасности якобы раскрыл более подробную информацию об эксплойте. [17] 25 июля 2019 года компьютерные эксперты сообщили, что, возможно, доступна коммерческая версия эксплойта. [18] [19] 31 июля 2019 года компьютерные эксперты сообщили о значительном росте вредоносной активности RDP и предупредили, основываясь на истории эксплойтов из похожих уязвимостей, что активная эксплойт уязвимости BlueKeep в дикой природе может быть неизбежна. [20]
13 августа 2019 года сообщалось о связанных уязвимостях безопасности BlueKeep, которые в совокупности называются DejaBlue , которые затрагивают новые версии Windows, включая Windows 7 и все последние версии операционной системы вплоть до Windows 10 , а также старые версии Windows. [3]
6 сентября 2019 года было объявлено о выпуске в открытый доступ эксплойта уязвимости безопасности BlueKeep, способной стать червем. [4] Однако первоначальная версия этого эксплойта была ненадежной, поскольку, как известно, вызывала ошибки « синего экрана смерти » (BSOD). Позднее было объявлено об исправлении, устраняющем причину ошибки BSOD. [21]
2 ноября 2019 года была зарегистрирована первая массовая хакерская кампания BlueKeep, включавшая в себя неудачную попытку криптоджекинга. [22]
8 ноября 2019 года Microsoft подтвердила атаку BlueKeep и призвала пользователей немедленно установить исправления для своих систем Windows. [23]
Протокол RDP использует «виртуальные каналы», настроенные до аутентификации, в качестве пути данных между клиентом и сервером для предоставления расширений. RDP 5.1 определяет 32 «статических» виртуальных канала, а «динамические» виртуальные каналы содержатся в одном из этих статических каналов. Если сервер связывает виртуальный канал «MS_T120» (канал, для которого нет законных оснований для подключения клиента) со статическим каналом, отличным от 31, происходит повреждение кучи , что позволяет выполнять произвольный код на системном уровне. [24]
Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 и Windows Server 2008 R2 были названы Microsoft уязвимыми для этой атаки. Версии новее 7, такие как Windows 8 , Windows 10 и Windows 11 , не были затронуты. Агентство по кибербезопасности и безопасности инфраструктуры заявило, что оно также успешно добилось выполнения кода через уязвимость в Windows 2000. [ 25]
Microsoft выпустила исправления для уязвимости 14 мая 2019 года для Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 и Windows Server 2008 R2 . Это включало версии Windows, которые достигли конца своего жизненного цикла (такие как Vista, XP и Server 2003) и, таким образом, больше не имеют права на обновления безопасности. [8] Исправление заставляет вышеупомянутый канал «MS_T120» всегда быть привязанным к 31, даже если иное запрошено RDP-сервером. [24]
АНБ рекомендовало дополнительные меры, такие как отключение Remote Desktop Services и связанного с ним порта ( TCP 3389), если он не используется, и требование аутентификации на уровне сети (NLA) для RDP. [26] По данным компании по компьютерной безопасности Sophos , двухфакторная аутентификация может сделать проблему RDP менее уязвимой. Однако лучшая защита — убрать RDP из Интернета: отключить RDP, если он не нужен, и, если нужно, сделать RDP доступным только через VPN . [27]