WikiDer > BlueKeep

BlueKeep
Не путать с BlueBEEP.

BlueKeep
BlueKeep logo.svg
Логотип, созданный для уязвимости, с держать, а укрепленная башня построен внутри замки.
Идентификатор (-ы) CVECVE-2019-0708
Дата исправления14 мая 2019; 18 месяцев назад (2019-05-14)[1]
ПервооткрывательНациональный центр кибербезопасности Великобритании[2]
Затронутое программное обеспечениепредварительноWindows 8 версии Майкрософт Виндоус

BlueKeep (CVE-2019-0708) это уязвимость безопасности что было обнаружено в Microsoftс Протокол удаленного рабочего стола (RDP), что позволяет удаленное выполнение кода.

Впервые о нем сообщалось в мае 2019 года, он присутствует во всех непропатченных версиях Microsoft Windows на базе Windows NT от Windows 2000 через Windows Server 2008 R2 и Windows 7. Microsoft выпустила исправление безопасности (включая внеполосное обновление для нескольких версий Windows, срок эксплуатации которых истек, например Windows XP) 14 мая 2019 г. 13 августа 2019 г. связанные уязвимости безопасности BlueKeep, все вместе названные DejaBlue, как сообщалось, влияют новее Версии Windows, включая Windows 7 и все последние версии до Windows 10 операционной системы, а также более старые версии Windows.[3] 6 сентября 2019 г. Metasploit подвиг червячный Было объявлено, что уязвимость безопасности BlueKeep стала общедоступной.[4]

История

Уязвимость системы безопасности BlueKeep была впервые отмечена Национальный центр кибербезопасности Великобритании[2] а 14 мая 2019 г. Microsoft. Эксперт по компьютерной безопасности Кевин Бомонт назвал уязвимость BlueKeep. Twitter. BlueKeep официально зарегистрирован как: CVE-2019-0708 и является "червячный" удаленное выполнение кода уязвимость.[5][6]

И США Национальное Агенство Безопасности (который выпустил собственное сообщение об уязвимости 4 июня 2019 г.)[7] и Microsoft заявили, что эта уязвимость потенциально может быть использована самораспространяющиеся черви, при этом Microsoft (на основе оценки исследователя безопасности, что почти 1 миллион устройств были уязвимы) заявила, что такая теоретическая атака может иметь такой же масштаб, что и EternalBlue-основанные атаки, такие как NotPetya и Хочу плакать.[8][9][7]

В тот же день, что и сообщение АНБ, исследователи Координационный центр CERT раскрыл отдельный RDP-связанная проблема безопасности в обновление Windows 10 May 2019 Update и Windows Server 2019, ссылаясь на новое поведение, при котором RDP Аутентификация на сетевом уровне (NLA) учетные данные для входа в систему кэшируются в клиентской системе, и пользователь может автоматически повторно получить доступ к своему RDP-соединению, если его сетевое соединение прервано. Microsoft отклонила эту уязвимость как предполагаемое поведение, и ее можно отключить с помощью Групповая политика.[10]

По состоянию на 1 июня 2019 г. нет активных вредоносное ПО об уязвимости, казалось, стало известно общественности; однако нераскрытые доказательство концепции (PoC) коды, использующие уязвимость, могли быть доступны.[8][11][12][13] 1 июля 2019 г. SophosБританская охранная компания сообщила о рабочем примере такого PoC, чтобы подчеркнуть срочную необходимость исправления уязвимости.[14][15][16] 22 июля 2019 года более подробную информацию об эксплойте якобы раскрыл спикер конференции из китайской охранной фирмы.[17] 25 июля 2019 года компьютерные эксперты сообщили, что, возможно, доступна коммерческая версия эксплойта.[18][19] 31 июля 2019 года компьютерные эксперты сообщили о значительном увеличении вредоносной активности RDP и предупредили, основываясь на историях эксплойтов от подобных уязвимостей, что активное использование уязвимости BlueKeep в дикой природе может быть неизбежным.[20]

13 августа 2019 г. связанные уязвимости системы безопасности BlueKeep под общим названием DejaBlue, как сообщалось, влияют на более новые версии Windows, включая Windows 7 и все последние версии операционной системы до Windows 10, а также более старые версии Windows.[3]

6 сентября 2019 года было объявлено, что эксплойт уязвимости системы безопасности BlueKeep, являющейся объектом червя, был выпущен в открытый доступ.[4] Однако первоначальная версия этого эксплойта была ненадежной, поскольку, как известно, вызывала "синий экран смерти"(BSOD) ошибки. Позже было объявлено исправление, устраняющее причину ошибки BSOD.[21]

2 ноября 2019 года было сообщено о первой массовой хакерской кампании BlueKeep, которая включала в себя безуспешную криптоджекинг миссия.[22]

8 ноября 2019 года Microsoft подтвердила атаку BlueKeep и призвала пользователей немедленно исправить свои системы Windows.[23]

Механизм

Протокол RDP использует «виртуальные каналы», настроенные перед аутентификацией, в качестве пути данных между клиентом и сервером для предоставления расширений. RDP 5.1 определяет 32 «статических» виртуальных канала, и «динамические» виртуальные каналы содержатся в одном из этих статических каналов. Если сервер связывает виртуальный канал «MS_T120» (канал, для которого нет законной причины для подключения клиента) со статическим каналом, отличным от 31, куча коррупции происходит, что позволяет выполнение произвольного кода на системном уровне.[24]

Windows XP, Виндоус виста, Windows 7, Windows Server 2003, Windows Server 2008, и Windows Server 2008 R2 были названы Microsoft уязвимыми для этой атаки. Версии новее 7, например Windows 8 и Windows 10, не пострадали. В Агентство кибербезопасности и безопасности инфраструктуры заявил, что он также успешно добился выполнения кода через уязвимость на Windows 2000.[25]

Смягчение

14 мая 2019 г. корпорация Майкрософт выпустила исправления для уязвимости для Windows XP, Виндоус виста, Windows 7, Windows Server 2003, Windows Server 2008, и Windows Server 2008 R2. Это включало версии Windows, достигшие своего конец жизни (например, Vista, XP и Server 2003) и, следовательно, больше не имеют права на обновления безопасности.[8] Патч заставляет вышеупомянутый канал «MS_T120» всегда быть привязанным к 31, даже если сервер RDP запрошен иначе.[24]

АНБ рекомендовало дополнительные меры, такие как отключение Службы удаленных рабочих столов и связанные с ним порт (TCP 3389), если он не используется, и требует Аутентификация на сетевом уровне (NLA) для RDP.[26] По данным компании компьютерной безопасности Sophos, двухфакторная аутентификация может сделать проблему RDP менее уязвимой. Однако лучшей защитой является отключение RDP от Интернета: отключите RDP, если он не нужен, и, если необходимо, сделайте RDP доступным только через VPN.[27]

Смотрите также

Рекомендации

  1. ^ Фоли, Мэри Джо (14.05.2019). «Microsoft исправляет Windows XP, Server 2003, чтобы попытаться устранить уязвимость, вызываемую червями». ZDNet. Получено 2019-06-07.
  2. ^ а б Microsoft (Май 2019). «Руководство по обновлению безопасности - Благодарности, май 2019 г.». Microsoft. Получено 2019-06-07.
  3. ^ а б Гринберг, Энди (13.08.2019). «DejaBlue: новые ошибки в стиле BlueKeep устраняют риск заражения Windows-червем». Проводной. Получено 2019-08-13.
  4. ^ а б Гудин, Дэн (2019-09-06). «Эксплойт для червячной ошибки BlueKeep Windows выпущен в широкую продажу - модуль Metasploit не так совершенен, как эксплойт EternalBlue. Тем не менее, он мощный». Ars Technica. Получено 2019-09-06.
  5. ^ "Руководство для клиентов по CVE-2019-0708 - уязвимость удаленного выполнения кода служб удаленных рабочих столов". Microsoft. 2019-05-14. Получено 2019-05-29.
  6. ^ "CVE-2019-0708 Уязвимость удаленного выполнения кода служб удаленных рабочих столов - уязвимость системы безопасности". Microsoft. 2019-05-14. Получено 2019-05-28.
  7. ^ а б Чимпану, Каталин. «Даже АНБ призывает пользователей Windows установить исправление для BlueKeep (CVE-2019-0708)». ZDNet. Получено 2019-06-20.
  8. ^ а б c Гудин, Дэн (31.05.2019). «Microsoft практически умоляет пользователей Windows исправить уязвимую уязвимость BlueKeep». Ars Technica. Получено 2019-05-31.
  9. ^ Уоррен, Том (2019-05-14). «Microsoft предупреждает об уязвимостях Windows, подобных WannaCry, и выпускает исправления для XP». Грани. Получено 2019-06-20.
  10. ^ «Microsoft отклоняет новую« ошибку »Windows RDP как особенность». Голая безопасность. 2019-06-06. Получено 2019-06-20.
  11. ^ Уиттакер, Зак (31.05.2019). «Microsoft предупреждает пользователей о необходимости исправления, поскольку появляются эксплойты для« червячной »ошибки BlueKeep». TechCrunch. Получено 2019-05-31.
  12. ^ О'Нил, Патрик Хауэлл (31.05.2019). «Вам нужно исправить свои старые ПК с Windows прямо сейчас, чтобы исправить серьезную ошибку». Gizmodo. Получено 2019-05-31.
  13. ^ Уиндер, Дэйви (2019-06-01). «Предупреждение Microsoft« Обновите сейчас »для пользователей Windows». Forbes. Получено 2019-06-01.
  14. ^ Палмер, Дэнни (2019-07-02). «BlueKeep: исследователи показывают, насколько опасным может быть этот эксплойт для Windows. Исследователи разработали атаку с подтверждением концепции после реинжиниринга патча Microsoft BlueKeep». ZDNet. Получено 2019-07-02.
  15. ^ Стокли, Марк (2019-07-01). «Эксплойт RDP BlueKeep показывает, почему вам действительно, действительно нужно исправлять». NakedSecurity.com. Получено 2019-07-01.
  16. ^ Персонал (2019-05-29). «CVE-2019-0708: уязвимость удаленного выполнения кода служб удаленных рабочих столов (известная как BlueKeep) - бюллетень технической поддержки». Sophos. Получено 2019-07-02.
  17. ^ Гудин, Дэн (22.07.2019). «Вероятность деструктивного использования эксплойта BlueKeep возрастает с новым объяснением, размещенным в Интернете - на слайдах представлена ​​наиболее подробная общедоступная техническая документация из всех известных». Ars Technica. Получено 2019-07-23.
  18. ^ Чимпану, Каталин (25.07.2019). «Американская компания, продающая эксплойт BlueKeep в виде оружия - эксплойт для уязвимости, которая, как опасалась Microsoft, могла вызвать следующий WannaCry, теперь продается коммерчески». ZDNet. Получено 2019-07-25.
  19. ^ Франчески-Биккьераль, Лоренцо (26.07.2019). «Фирма по кибербезопасности выпускает код для невероятно опасной уязвимости Windows 'BlueKeep' - исследователи из государственного подрядчика США Immunity разработали работающий эксплойт для опасной ошибки Windows, известной как BlueKeep». Порок. Получено 2019-07-26.
  20. ^ Рудис, Боб (31.07.2019). «Возможные эксплойты BlueKeep: наши наблюдения и рекомендации». Rapid7.com. Получено 2019-08-01.
  21. ^ Чимпану, Каталин (11.11.2019). «Эксплойт BlueKeep для исправления проблемы с BSOD». ZDNet.
  22. ^ Гринберг, Энди (2019-11-02). «Первый массовый взлом BlueKeep, наконец, наступил - но не паникуйте - после нескольких месяцев предупреждений пришла первая успешная атака с использованием уязвимости Microsoft BlueKeep - но она не так плоха, как могла бы». Проводной. Получено 2019-11-03.
  23. ^ «Microsoft работает с исследователями для обнаружения и защиты от новых эксплойтов RDP». Microsoft. 2019-11-07. Получено 2019-11-09.
  24. ^ а б «RDP означает« Really DO Patch! »- Understanding Wormable RDP Vulnerability CVE-2019-0708». Блоги McAfee. 2019-05-21. Получено 2019-06-19.
  25. ^ Тунг, Лиам. «Национальная безопасность: мы протестировали атаку Windows BlueKeep, и теперь она работает, исправьте». ZDNet. Получено 2019-06-20.
  26. ^ Чимпану, Каталин. «Даже АНБ призывает пользователей Windows установить исправление для BlueKeep (CVE-2019-0708)». ZDNet. Получено 2019-06-20.
  27. ^ Стокли, Марк (17.07.2019). "RDP разоблачен: волки уже у вашей двери". Sophos. Получено 2019-07-17.

внешняя ссылка