BlueKeep

Дыра в безопасности Windows

BlueKeep ( CVE - 2019-0708) — уязвимость безопасности , обнаруженная в реализации протокола удаленного рабочего стола (RDP) Microsoft , которая допускает возможность удаленного выполнения кода .

Впервые сообщено в мае 2019 года, он присутствует во всех неисправленных версиях Microsoft Windows на базе Windows NT от Windows 2000 до Windows Server 2008 R2 и Windows 7. Microsoft выпустила исправление безопасности (включая внеполосное обновление для нескольких версий Windows, срок службы которых истек, таких как Windows XP ) 14 мая 2019 года. 13 августа 2019 года сообщалось, что связанные уязвимости безопасности BlueKeep, совместно именуемые DejaBlue , затрагивают более новые версии Windows, включая Windows 7 и все последние версии операционной системы вплоть до Windows 10 , а также более старые версии Windows. ^[3] 6 сентября 2019 года было объявлено о выпуске в открытый доступ эксплойта Metasploit уязвимости безопасности BlueKeep , способной вызывать червей . ^[4]

История

Уязвимость безопасности BlueKeep была впервые отмечена Национальным центром кибербезопасности Великобритании ^[2] и 14 мая 2019 года о ней сообщила компания Microsoft . Эксперт по компьютерной безопасности Кевин Бомонт назвал уязвимость BlueKeep в Twitter. BlueKeep официально отслеживается как: CVE- 2019-0708 и является уязвимостью удаленного выполнения кода , способной стать червем . [ ^{5] [6]}

И Агентство национальной безопасности США (которое выпустило собственное предупреждение об этой уязвимости 4 июня 2019 года) ^[7] , и Microsoft заявили, что эта уязвимость потенциально может быть использована самораспространяющимися червями , при этом Microsoft (основываясь на оценке исследователя безопасности, что почти 1 миллион устройств были уязвимы) заявила, что такая теоретическая атака может иметь аналогичный масштаб с атаками на основе EternalBlue , такими как NotPetya и WannaCry . ^{[8] [9] [7]}

В тот же день, когда был опубликован бюллетень АНБ, исследователи Координационного центра CERT раскрыли отдельную проблему безопасности, связанную с RDP, в обновлении Windows 10 May 2019 Update и Windows Server 2019 , сославшись на новое поведение, при котором учетные данные для входа в систему RDP Network Level Authentication (NLA) кэшируются в клиентской системе, и пользователь может автоматически восстановить доступ к своему RDP-подключению, если его сетевое подключение прервано. Microsoft отклонила эту уязвимость как преднамеренное поведение, и ее можно отключить с помощью групповой политики . ^[10]

По состоянию на 1 июня 2019 года ни одно активное вредоносное ПО для уязвимости, по-видимому, не было публично известно; однако, могли быть доступны нераскрытые коды доказательства концепции (PoC), эксплуатирующие уязвимость. ^{[8] [11] [12] [ 13]} 1 июля 2019 года Sophos , британская компания по безопасности, сообщила о рабочем примере такого PoC, чтобы подчеркнуть срочную необходимость исправления уязвимости. ^{[14] [15] [16]} 22 июля 2019 года докладчик на конференции из китайской компании по безопасности якобы раскрыл более подробную информацию об эксплойте. ^[17] 25 июля 2019 года компьютерные эксперты сообщили, что, возможно, доступна коммерческая версия эксплойта. ^{[18] [19]} 31 июля 2019 года компьютерные эксперты сообщили о значительном росте вредоносной активности RDP и предупредили, основываясь на истории эксплойтов из похожих уязвимостей, что активная эксплойт уязвимости BlueKeep в дикой природе может быть неизбежна. ^[20]

13 августа 2019 года сообщалось о связанных уязвимостях безопасности BlueKeep, которые в совокупности называются DejaBlue , которые затрагивают новые версии Windows, включая Windows 7 и все последние версии операционной системы вплоть до Windows 10 , а также старые версии Windows. ^[3]

6 сентября 2019 года было объявлено о выпуске в открытый доступ эксплойта уязвимости безопасности BlueKeep, способной стать червем. ^[4] Однако первоначальная версия этого эксплойта была ненадежной, поскольку, как известно, вызывала ошибки « синего экрана смерти » (BSOD). Позднее было объявлено об исправлении, устраняющем причину ошибки BSOD. ^[21]

2 ноября 2019 года была зарегистрирована первая массовая хакерская кампания BlueKeep, включавшая в себя неудачную попытку криптоджекинга. ^[22]

8 ноября 2019 года Microsoft подтвердила атаку BlueKeep и призвала пользователей немедленно установить исправления для своих систем Windows. ^[23]

Механизм

Протокол RDP использует «виртуальные каналы», настроенные до аутентификации, в качестве пути данных между клиентом и сервером для предоставления расширений. RDP 5.1 определяет 32 «статических» виртуальных канала, а «динамические» виртуальные каналы содержатся в одном из этих статических каналов. Если сервер связывает виртуальный канал «MS_T120» (канал, для которого нет законных оснований для подключения клиента) со статическим каналом, отличным от 31, происходит повреждение кучи , что позволяет выполнять произвольный код на системном уровне. ^[24]

Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 и Windows Server 2008 R2 были названы Microsoft уязвимыми для этой атаки. Версии новее 7, такие как Windows 8 , Windows 10 и Windows 11 , не были затронуты. Агентство по кибербезопасности и безопасности инфраструктуры заявило, что оно также успешно добилось выполнения кода через уязвимость в Windows 2000. [ ^25]

Смягчение

Microsoft выпустила исправления для уязвимости 14 мая 2019 года для Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 и Windows Server 2008 R2 . Это включало версии Windows, которые достигли конца своего жизненного цикла (такие как Vista, XP и Server 2003) и, таким образом, больше не имеют права на обновления безопасности. ^[8] Исправление заставляет вышеупомянутый канал «MS_T120» всегда быть привязанным к 31, даже если иное запрошено RDP-сервером. ^[24]

АНБ рекомендовало дополнительные меры, такие как отключение Remote Desktop Services и связанного с ним порта ( TCP 3389), если он не используется, и требование аутентификации на уровне сети (NLA) для RDP. ^[26] По данным компании по компьютерной безопасности Sophos , двухфакторная аутентификация может сделать проблему RDP менее уязвимой. Однако лучшая защита — убрать RDP из Интернета: отключить RDP, если он не нужен, и, если нужно, сделать RDP доступным только через VPN . ^[27]

Смотрите также

• Атака вируса-вымогателя Bad Rabbit - 2017
• Атака вируса-вымогателя WannaCry
• Blaster (компьютерный червь)
• Кибератака Dyn – 2016
• Sasser (компьютерный червь)
• Вечносиний

Ссылки

1. Фоли, Мэри Джо (2019-05-14). «Microsoft исправляет Windows XP, Server 2003, чтобы попытаться предотвратить уязвимость „червя“». ZDNet . Архивировано из оригинала 2019-06-04 . Получено 2019-06-07 .
2. Microsoft (май 2019 г.). "Руководство по обновлению безопасности - Благодарности, май 2019 г.". Microsoft . Архивировано из оригинала 2019-11-23 . Получено 2019-06-07 .
3. Greenberg, Andy (2019-08-13). "DejaBlue: Новые ошибки в стиле BlueKeep вновь повышают риск появления червя в Windows". Wired . Архивировано из оригинала 2021-04-13 . Получено 2019-08-13 .
4. Goodin, Dan (2019-09-06). "Эксплойт для червеобразной ошибки BlueKeep Windows выпущен в дикую природу - Модуль Metasploit не так отполирован, как эксплойт EternalBlue. Тем не менее, он мощный". Ars Technica . Архивировано из оригинала 2019-11-27 . Получено 2019-09-06 .
5. "Руководство для клиентов по CVE-2019-0708 — Уязвимость удаленного выполнения кода служб удаленных рабочих столов". Microsoft . 2019-05-14. Архивировано из оригинала 2019-09-13 . Получено 2019-05-29 .
6. "CVE-2019-0708 Уязвимость удаленного выполнения кода служб удаленных рабочих столов — уязвимость безопасности". Microsoft . 2019-05-14. Архивировано из оригинала 2019-05-29 . Получено 2019-05-28 .
7. Cimpanu, Catalin. «Даже АНБ призывает пользователей Windows исправить BlueKeep (CVE-2019-0708)». ZDNet . Архивировано из оригинала 2019-09-06 . Получено 2019-06-20 .
8. Goodin, Dan (2019-05-31). «Microsoft практически умоляет пользователей Windows исправить уязвимость BlueKeep, способную стать червем». Ars Technica . Архивировано из оригинала 2019-07-22 . Получено 2019-05-31 .
9. Уоррен, Том (2019-05-14). «Microsoft предупреждает о крупном эксплойте безопасности Windows, похожем на WannaCry, выпускает исправления для XP». The Verge . Архивировано из оригинала 2019-09-02 . Получено 2019-06-20 .
10. "Microsoft отклоняет новую 'ошибку' Windows RDP как функцию". Naked Security . 2019-06-06. Архивировано из оригинала 2019-12-17 . Получено 2019-06-20 .
11. Уиттакер, Зак (2019-05-31). «Microsoft предупреждает пользователей о необходимости исправления, поскольку появляются эксплойты для «червеобразной» ошибки BlueKeep». TechCrunch . Архивировано из оригинала 2019-05-31 . Получено 2019-05-31 .
12. О'Нил, Патрик Хауэлл (2019-05-31). «Вам нужно исправить старые ПК с Windows прямо сейчас, чтобы исправить серьезную ошибку». Gizmodo . Архивировано из оригинала 2019-06-01 . Получено 2019-05-31 .
13. Winder, Davey (2019-06-01). "Microsoft Issues 'Update Now' Warning To Windows Users". Forbes . Архивировано из оригинала 2019-06-01 . Получено 2019-06-01 .
14. Палмер, Дэнни (2019-07-02). "BlueKeep: Исследователи показывают, насколько опасным может быть этот эксплойт Windows на самом деле - Исследователи разрабатывают проверку концепции атаки после обратного проектирования исправления Microsoft BlueKeep". ZDNet . Архивировано из оригинала 2019-07-02 . Получено 2019-07-02 .
15. Стокли, Марк (01.07.2019). «Эксплойт RDP BlueKeep показывает, почему вам действительно нужно патчить». NakedSecurity.com . Архивировано из оригинала 07.12.2019 . Получено 01.07.2019 .
16. Staff (29.05.2019). "CVE-2019-0708: Уязвимость удаленного выполнения кода служб удаленных рабочих столов (известная как BlueKeep) - Технический бюллетень поддержки". Sophos . Архивировано из оригинала 03.07.2019 . Получено 02.07.2019 .
17. Гудин, Дэн (22.07.2019). «Вероятность разрушительного эксплойта BlueKeep растет с появлением в сети нового пояснительного материала — слайды содержат самую подробную общедоступную техническую документацию, имевшуюся на сегодняшний день». Ars Technica . Архивировано из оригинала 08.11.2019 . Получено 23.07.2019 .
18. Cimpanu, Catalin (2019-07-25). «Американская компания, продающая эксплойт BlueKeep, превращенный в оружие — эксплойт для уязвимости, которая, как опасалась Microsoft, может вызвать следующий WannaCry, теперь продается на коммерческой основе». ZDNet . Архивировано из оригинала 2019-11-08 . Получено 2019-07-25 .
19. Франчески-Биккиерал, Лоренцо (26.07.2019). «Фирма по кибербезопасности сбросила код для невероятно опасной уязвимости Windows 'BlueKeep' — Исследователи из подрядчика правительства США Immunity разработали рабочий эксплойт для опасной ошибки Windows, известной как BlueKeep». Vice . Архивировано из оригинала 26.07.2019 . Получено 26.07.2019 .
20. Рудис, Боб (2019-07-31). «BlueKeep Exploits May Be Coming: Our Observations and Recommendations». Rapid7.com . Архивировано из оригинала 2019-08-01 . Получено 2019-08-01 .
21. Cimpanu, Catalin (11.11.2019). "Использование BlueKeep для исправления проблемы BSOD". ZDNet . Архивировано из оригинала 18.11.2019 . Получено 13.11.2019 .
22. Гринберг, Энди (2019-11-02). «Первый массовый взлом BlueKeep наконец-то здесь — но не паникуйте — после месяцев предупреждений первая успешная атака с использованием уязвимости Microsoft BlueKeep состоялась — но она не так плоха, как могла бы быть». Wired . Архивировано из оригинала 2019-12-02 . Получено 2019-11-03 .
23. "Microsoft работает с исследователями для обнаружения и защиты от новых эксплойтов RDP". Microsoft . 2019-11-07. Архивировано из оригинала 2019-11-23 . Получено 2019-11-09 .
24. "RDP означает "Really DO Patch!" – Understanding the Wormable RDP Vulnerability CVE-2019-0708". Блоги McAfee . 2019-05-21. Архивировано из оригинала 2020-03-07 . Получено 2019-06-19 .
25. Танг, Лиам. «Homeland Security: Мы протестировали атаку Windows BlueKeep, и она работает, поэтому патч уже сейчас». ZDNet . Архивировано из оригинала 2019-06-19 . Получено 2019-06-20 .
26. Cimpanu, Catalin. «Даже АНБ призывает пользователей Windows исправить BlueKeep (CVE-2019-0708)». ZDNet . Архивировано из оригинала 2019-09-06 . Получено 2019-06-20 .
27. Стокли, Марк (17.07.2019). «RDP разоблачен: волки уже у вашей двери». Sophos . Архивировано из оригинала 18.10.2019 . Получено 17.07.2019 .

Внешние ссылки

• BlueKeep: исправления Центра обновления Windows ЗДЕСЬ, ЗДЕСЬ и ЗДЕСЬ ( Microsoft ).
• Доказательство концепции уязвимости от Sophos
• Техническое обсуждение уязвимости на YouTube