BlueKeep - BlueKeep

Не путать с BlueBEEP.

BlueKeep
BlueKeep logo.svg
Логотип, созданный для уязвимости, с держать, а укрепленная башня построен внутри замки.
Идентификатор (-ы) CVECVE -2019-0708
Дата исправления14 мая 2019; 18 месяцев назад (2019-05-14)[1]
ПервооткрывательНациональный центр кибербезопасности Великобритании[2]
Затронутое программное обеспечениепредварительноWindows 8 версии Майкрософт Виндоус

BlueKeep (CVE -2019-0708 ) это уязвимость безопасности что было обнаружено в Microsoft с Протокол удаленного рабочего стола (RDP), что позволяет удаленное выполнение кода.

Впервые о нем сообщалось в мае 2019 года, он присутствует во всех непропатченных версиях Microsoft Windows на базе Windows NT от Windows 2000 через Windows Server 2008 R2 и Windows 7. Microsoft выпустила исправление безопасности (включая внеполосное обновление для нескольких версий Windows, срок эксплуатации которых истек, например Windows XP ) 14 мая 2019 г. 13 августа 2019 г. связанные уязвимости безопасности BlueKeep, все вместе названные DejaBlue, как сообщалось, влияют новее Версии Windows, включая Windows 7 и все последние версии до Windows 10 операционной системы, а также более старые версии Windows.[3] 6 сентября 2019 г. Metasploit подвиг червячный Было объявлено, что уязвимость безопасности BlueKeep стала общедоступной.[4]

История

Уязвимость системы безопасности BlueKeep была впервые отмечена Национальный центр кибербезопасности Великобритании[2] а 14 мая 2019 г. Microsoft. Эксперт по компьютерной безопасности Кевин Бомонт назвал уязвимость BlueKeep. Twitter. BlueKeep официально зарегистрирован как: CVE-2019-0708 и является "червячный " удаленное выполнение кода уязвимость.[5][6]

И США Национальное Агенство Безопасности (который выпустил собственное сообщение об уязвимости 4 июня 2019 г.)[7] и Microsoft заявили, что эта уязвимость потенциально может быть использована самораспространяющиеся черви, при этом Microsoft (на основе оценки исследователя безопасности, что почти 1 миллион устройств были уязвимы) заявила, что такая теоретическая атака может иметь такой же масштаб, что и EternalBlue -основанные атаки, такие как NotPetya и Хочу плакать.[8][9][7]

В тот же день, что и сообщение АНБ, исследователи Координационный центр CERT раскрыл отдельный RDP -связанная проблема безопасности в обновление Windows 10 May 2019 Update и Windows Server 2019, ссылаясь на новое поведение, при котором RDP Аутентификация на сетевом уровне (NLA) учетные данные для входа в систему кэшируются в клиентской системе, и пользователь может автоматически повторно получить доступ к своему RDP-соединению, если его сетевое соединение прервано. Microsoft отклонила эту уязвимость как предполагаемое поведение, и ее можно отключить с помощью Групповая политика.[10]

По состоянию на 1 июня 2019 г. нет активных вредоносное ПО об уязвимости, казалось, стало известно общественности; однако нераскрытые доказательство концепции (PoC) коды, использующие уязвимость, могли быть доступны.[8][11][12][13] 1 июля 2019 г. Sophos Британская охранная компания сообщила о рабочем примере такого PoC, чтобы подчеркнуть срочную необходимость исправления уязвимости.[14][15][16] 22 июля 2019 года более подробную информацию об эксплойте якобы раскрыл спикер конференции из китайской охранной фирмы.[17] 25 июля 2019 года компьютерные эксперты сообщили, что, возможно, доступна коммерческая версия эксплойта.[18][19] 31 июля 2019 года компьютерные эксперты сообщили о значительном увеличении вредоносной активности RDP и предупредили, основываясь на историях эксплойтов от подобных уязвимостей, что активное использование уязвимости BlueKeep в дикой природе может быть неизбежным.[20]

13 августа 2019 г. связанные уязвимости системы безопасности BlueKeep под общим названием DejaBlue, как сообщалось, влияют на более новые версии Windows, включая Windows 7 и все последние версии операционной системы до Windows 10, а также более старые версии Windows.[3]

6 сентября 2019 года было объявлено, что эксплойт уязвимости системы безопасности BlueKeep, являющейся объектом червя, был выпущен в открытый доступ.[4] Однако первоначальная версия этого эксплойта была ненадежной, поскольку, как известно, вызывала "синий экран смерти "(BSOD) ошибки. Позже было объявлено исправление, устраняющее причину ошибки BSOD.[21]

2 ноября 2019 года было сообщено о первой массовой хакерской кампании BlueKeep, которая включала в себя безуспешную криптоджекинг миссия.[22]

8 ноября 2019 года Microsoft подтвердила атаку BlueKeep и призвала пользователей немедленно исправить свои системы Windows.[23]

Механизм

Протокол RDP использует «виртуальные каналы», настроенные перед аутентификацией, в качестве пути данных между клиентом и сервером для предоставления расширений. RDP 5.1 определяет 32 «статических» виртуальных канала, и «динамические» виртуальные каналы содержатся в одном из этих статических каналов. Если сервер связывает виртуальный канал «MS_T120» (канал, для которого нет законной причины для подключения клиента) со статическим каналом, отличным от 31, куча коррупции происходит, что позволяет выполнение произвольного кода на системном уровне.[24]

Windows XP, Виндоус виста, Windows 7, Windows Server 2003, Windows Server 2008, и Windows Server 2008 R2 были названы Microsoft уязвимыми для этой атаки. Версии новее 7, например Windows 8 и Windows 10, не пострадали. В Агентство кибербезопасности и безопасности инфраструктуры заявил, что он также успешно добился выполнения кода через уязвимость на Windows 2000.[25]

Смягчение

14 мая 2019 г. корпорация Майкрософт выпустила исправления для уязвимости для Windows XP, Виндоус виста, Windows 7, Windows Server 2003, Windows Server 2008, и Windows Server 2008 R2. Это включало версии Windows, достигшие своего конец жизни (например, Vista, XP и Server 2003) и, следовательно, больше не имеют права на обновления безопасности.[8] Патч заставляет вышеупомянутый канал «MS_T120» всегда быть привязанным к 31, даже если сервер RDP запрошен иначе.[24]

АНБ рекомендовало дополнительные меры, такие как отключение Службы удаленных рабочих столов и связанные с ним порт (TCP 3389), если он не используется, и требует Аутентификация на сетевом уровне (NLA) для RDP.[26] По данным компании компьютерной безопасности Sophos, двухфакторная аутентификация может сделать проблему RDP менее уязвимой. Однако лучшей защитой является отключение RDP от Интернета: отключите RDP, если он не нужен, и, если необходимо, сделайте RDP доступным только через VPN.[27]

Смотрите также

Рекомендации

  1. ^ Фоли, Мэри Джо (14.05.2019). «Microsoft исправляет Windows XP, Server 2003, чтобы попытаться устранить уязвимость, вызываемую червями». ZDNet. Получено 2019-06-07.
  2. ^ а б Microsoft (Май 2019). «Руководство по обновлению безопасности - Благодарности, май 2019 г.». Microsoft. Получено 2019-06-07.
  3. ^ а б Гринберг, Энди (13.08.2019). «DejaBlue: новые ошибки в стиле BlueKeep устраняют риск заражения Windows-червем». Проводной. Получено 2019-08-13.
  4. ^ а б Гудин, Дэн (2019-09-06). «Эксплойт для червячной ошибки BlueKeep Windows выпущен в широкую продажу - модуль Metasploit не так совершенен, как эксплойт EternalBlue. Тем не менее, он мощный». Ars Technica. Получено 2019-09-06.
  5. ^ "Руководство для клиентов по CVE-2019-0708 - уязвимость удаленного выполнения кода служб удаленных рабочих столов". Microsoft. 2019-05-14. Получено 2019-05-29.
  6. ^ "CVE-2019-0708 Уязвимость удаленного выполнения кода служб удаленных рабочих столов - уязвимость системы безопасности". Microsoft. 2019-05-14. Получено 2019-05-28.
  7. ^ а б Чимпану, Каталин. «Даже АНБ призывает пользователей Windows установить исправление для BlueKeep (CVE-2019-0708)». ZDNet. Получено 2019-06-20.
  8. ^ а б c Гудин, Дэн (31.05.2019). «Microsoft практически умоляет пользователей Windows исправить уязвимую уязвимость BlueKeep». Ars Technica. Получено 2019-05-31.
  9. ^ Уоррен, Том (2019-05-14). «Microsoft предупреждает об уязвимостях Windows, подобных WannaCry, и выпускает исправления для XP». Грани. Получено 2019-06-20.
  10. ^ «Microsoft отклоняет новую« ошибку »Windows RDP как особенность». Голая безопасность. 2019-06-06. Получено 2019-06-20.
  11. ^ Уиттакер, Зак (31.05.2019). «Microsoft предупреждает пользователей о необходимости исправления, поскольку появляются эксплойты для« червячной »ошибки BlueKeep». TechCrunch. Получено 2019-05-31.
  12. ^ О'Нил, Патрик Хауэлл (31.05.2019). «Вам нужно исправить свои старые ПК с Windows прямо сейчас, чтобы исправить серьезную ошибку». Gizmodo. Получено 2019-05-31.
  13. ^ Уиндер, Дэйви (2019-06-01). «Предупреждение Microsoft« Обновите сейчас »для пользователей Windows». Forbes. Получено 2019-06-01.
  14. ^ Палмер, Дэнни (2019-07-02). «BlueKeep: исследователи показывают, насколько опасным может быть этот эксплойт для Windows. Исследователи разработали атаку с подтверждением концепции после реинжиниринга патча Microsoft BlueKeep». ZDNet. Получено 2019-07-02.
  15. ^ Стокли, Марк (2019-07-01). «Эксплойт RDP BlueKeep показывает, почему вам действительно, действительно нужно исправлять». NakedSecurity.com. Получено 2019-07-01.
  16. ^ Персонал (2019-05-29). «CVE-2019-0708: уязвимость удаленного выполнения кода служб удаленных рабочих столов (известная как BlueKeep) - бюллетень технической поддержки». Sophos. Получено 2019-07-02.
  17. ^ Гудин, Дэн (22.07.2019). «Вероятность деструктивного использования эксплойта BlueKeep возрастает с новым объяснением, размещенным в Интернете - на слайдах представлена ​​наиболее подробная общедоступная техническая документация из всех известных». Ars Technica. Получено 2019-07-23.
  18. ^ Чимпану, Каталин (25.07.2019). «Американская компания, продающая эксплойт BlueKeep в виде оружия - эксплойт для уязвимости, которая, как опасалась Microsoft, могла вызвать следующий WannaCry, теперь продается коммерчески». ZDNet. Получено 2019-07-25.
  19. ^ Франчески-Биккьераль, Лоренцо (26.07.2019). «Фирма по кибербезопасности выпускает код для невероятно опасной уязвимости Windows 'BlueKeep' - исследователи из государственного подрядчика США Immunity разработали работающий эксплойт для опасной ошибки Windows, известной как BlueKeep». Порок. Получено 2019-07-26.
  20. ^ Рудис, Боб (31.07.2019). «Возможные эксплойты BlueKeep: наши наблюдения и рекомендации». Rapid7.com. Получено 2019-08-01.
  21. ^ Чимпану, Каталин (11.11.2019). «Эксплойт BlueKeep для исправления проблемы с BSOD». ZDNet.
  22. ^ Гринберг, Энди (2019-11-02). «Первый массовый взлом BlueKeep, наконец, наступил - но не паникуйте - после нескольких месяцев предупреждений пришла первая успешная атака с использованием уязвимости Microsoft BlueKeep - но она не так плоха, как могла бы». Проводной. Получено 2019-11-03.
  23. ^ «Microsoft работает с исследователями для обнаружения и защиты от новых эксплойтов RDP». Microsoft. 2019-11-07. Получено 2019-11-09.
  24. ^ а б «RDP означает« Really DO Patch! »- Understanding Wormable RDP Vulnerability CVE-2019-0708». Блоги McAfee. 2019-05-21. Получено 2019-06-19.
  25. ^ Тунг, Лиам. «Национальная безопасность: мы протестировали атаку Windows BlueKeep, и теперь она работает, исправьте». ZDNet. Получено 2019-06-20.
  26. ^ Чимпану, Каталин. «Даже АНБ призывает пользователей Windows установить исправление для BlueKeep (CVE-2019-0708)». ZDNet. Получено 2019-06-20.
  27. ^ Стокли, Марк (17.07.2019). "RDP разоблачен: волки уже у вашей двери". Sophos. Получено 2019-07-17.

внешняя ссылка