BlueKeep - BlueKeep
 Логотип, созданный для уязвимости, с изображением цитадели , укрепленной башни, построенной внутри замков .
| |
| Идентификатор (ы) CVE | CVE - 2019-0708 |
|---|---|
| Дата исправления | 14 мая 2019 г . |
| Первооткрыватель | Национальный центр кибербезопасности Великобритании |
| Затронутое программное обеспечение | версии Microsoft Windows до Windows 8 |
BlueKeep ( CVE - 2019-0708 ) является уязвимость , которая была обнаружена в Microsoft «s Remote Desktop Protocol (RDP) реализации, что позволяет для возможности удаленного выполнения кода .
Впервые сообщалось в мае 2019 года, он присутствует во всех непропатченных версиях Microsoft Windows на базе Windows NT, начиная с Windows 2000 и заканчивая Windows Server 2008 R2 и Windows 7 . 14 мая 2019 г. корпорация Майкрософт выпустила исправление безопасности (в том числе обновление по дополнительному каналу для нескольких версий Windows, срок эксплуатации которых истек , например, Windows XP ). 13 августа 2019 г. все вместе связаны с уязвимостями безопасности BlueKeep. под названием DejaBlue , как сообщается, влияет на более новые версии Windows, включая Windows 7 и все последние версии операционной системы до Windows 10 , а также на более старые версии Windows. 6 сентября 2019 года было объявлено, что эксплойт Metasploit уязвимости системы безопасности BlueKeep, являющейся червем, был выпущен в открытый доступ.
История
Уязвимость в системе безопасности BlueKeep была впервые обнаружена Национальным центром кибербезопасности Великобритании, а 14 мая 2019 года о ней сообщила корпорация Майкрософт . Эксперт по компьютерной безопасности Кевин Бомонт в Twitter назвал уязвимость BlueKeep . BlueKeep официально отслеживаются как: CVE- 2019-0708 и является « wormable » удаленное выполнение кода уязвимости.
Как Агентство национальной безопасности США (которое выпустило свои собственные рекомендации по уязвимости 4 июня 2019 г.), так и Microsoft заявили, что эта уязвимость потенциально может использоваться самораспространяющимися червями с Microsoft (по оценке исследователя безопасности, что около 1 миллиона устройств были уязвимы), заявив, что такая теоретическая атака может иметь такой же масштаб, что и атаки на основе EternalBlue, такие как NotPetya и WannaCry .
В тот же день, что и рекомендация АНБ, исследователи из Координационного центра CERT раскрыли отдельную проблему безопасности, связанную с RDP, в Windows 10 May 2019 Update и Windows Server 2019 , сославшись на новое поведение, при котором используются учетные данные RDP Network Level Authentication (NLA). кэшируется в клиентской системе, и пользователь может автоматически повторно получить доступ к своему RDP-соединению, если его сетевое соединение прервано. Microsoft отклонила эту уязвимость как преднамеренное поведение, и ее можно отключить с помощью групповой политики .
По состоянию на 1 июня 2019 года, видимо, публично не было известно ни одного активного вредоносного ПО уязвимости; однако, возможно, были доступны нераскрытые коды подтверждения концепции (PoC), использующие уязвимость. 1 июля 2019 года британская охранная компания Sophos сообщила о рабочем примере такого PoC, чтобы подчеркнуть срочную необходимость исправления уязвимости. 22 июля 2019 года более подробную информацию об эксплойте якобы раскрыл спикер конференции из китайской охранной фирмы. 25 июля 2019 года компьютерные эксперты сообщили, что, возможно, доступна коммерческая версия эксплойта. 31 июля 2019 года компьютерные эксперты сообщили о значительном увеличении вредоносной активности RDP и предупредили, основываясь на историях эксплойтов от аналогичных уязвимостей, что активное использование уязвимости BlueKeep в дикой природе может быть неизбежным.
13 августа 2019 года сообщалось, что соответствующие уязвимости безопасности BlueKeep, под общим названием DejaBlue , затронули более новые версии Windows, включая Windows 7 и все последние версии операционной системы до Windows 10 , а также более старые версии Windows.
6 сентября 2019 года было объявлено, что эксплойт уязвимости системы безопасности BlueKeep, являющейся червем, был выпущен в открытый доступ. Однако первоначальная версия этого эксплойта была ненадежной, поскольку, как известно, вызывала ошибки « синего экрана смерти » (BSOD). Позже было объявлено об исправлении, устраняющем причину ошибки BSOD.
2 ноября 2019 года было сообщено о первой массовой хакерской кампании BlueKeep, которая включала в себя неудачную миссию криптоджекинга.
8 ноября 2019 года Microsoft подтвердила атаку BlueKeep и призвала пользователей немедленно исправить свои системы Windows.
Механизм
Протокол RDP использует «виртуальные каналы», настроенные перед аутентификацией, в качестве пути данных между клиентом и сервером для предоставления расширений. RDP 5.1 определяет 32 «статических» виртуальных канала, и «динамические» виртуальные каналы содержатся в одном из этих статических каналов. Если сервер связывает виртуальный канал «MS_T120» (канал, для которого нет законной причины для подключения клиента) со статическим каналом, отличным от 31, происходит повреждение кучи, что позволяет выполнять произвольный код на системном уровне.
Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 и Windows Server 2008 R2 были названы Microsoft уязвимыми для этой атаки. Версии новее 7, такие как Windows 8 и Windows 10 , не пострадали. Агентство по кибербезопасности и безопасности инфраструктуры заявило, что оно также успешно добилось выполнения кода через уязвимость в Windows 2000 .
Смягчение
14 мая 2019 года Microsoft выпустила исправления для этой уязвимости для Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 и Windows Server 2008 R2 . Сюда входят версии Windows, срок эксплуатации которых подошел к концу (например, Vista, XP и Server 2003), и поэтому на них больше не распространяются обновления безопасности. Патч заставляет вышеупомянутый канал «MS_T120» всегда быть привязанным к 31, даже если сервер RDP запрошен иначе.
АНБ рекомендовало дополнительные меры, такие как отключение служб удаленных рабочих столов и связанных с ними портов ( TCP 3389), если они не используются, и требование проверки подлинности на уровне сети (NLA) для RDP. По словам компании , занимающейся компьютерной безопасностью Sophos , двухфакторная аутентификация может сделать проблему RDP менее уязвимой. Однако лучшей защитой является отключение RDP от Интернета: отключите RDP, если он не нужен, и, если необходимо, сделайте RDP доступным только через VPN .