Специалист по информационна сигурност е регистрирал поредните атаки към CVE-2019-0708, критичен проблем в Remote Desktop Services (RDS), засягащ Windows. Уязвимостта се оказа изключително критична и не само, че получи свое собствено име (Bluekeep), но и получи специално внимание от страна на Microsoft, които побързаха да доставят кръпка по сигурността и за вече неподдържани официално версии на Windows, за да запазят всички свои потребители в безопасност.

Запушена през март тази година, BlueKeep бързо беше сравнен с WannaCry, ужасяващата рансъмуер епидемия, засегнала десетки хиляди системи по цял свят. Подобно и на WannaCry, BlueKeep засяга мрежов протокол, експлоатирането ѝ може да бъде автоматизирано, от мишената не се изисква, каквото и да е действие и позволява разпространението на атаката в мрежовия периметър (притежава характеристиките на мрежов червей). За щастие, за последното все още не сме чули, но след като в Интернет беше публикуван работещ експлойт за дупката, тя бързо беше включена в ботнет, а опитите за атака не закъсняха. И макар Microsoft да предупредиха вече няколко пъти от пролетта насам, все още хиляди системи са незащитени.

А сега, изследователят Кевин Бомон, същият, който даде името BlueKeep на проблема – разказа за активна кампания по експлоатирането ѝ, която е засякъл. Той създава глобална honeypot мрежа от уязвими на BlueKeep виртуални системи в опит да прихване опити за експлоатирането на CVE-2019-0708. На 23-ти миналия месец, Бомон забелязал, че изградените от него системи необяснимо започнали да се сриват и рестартират, но каква е причината разбрал едва в началото на ноември. Заедно с колегата си Маркъс Хътчинс (MalwareTech) – съшият програмист, осуетил опустошителните действия на WannaCry преди две години – разгледали подробно случая и установили, че неизвестна страна използва BlueKeep модула, вкаран в експлойт платформата Metasploit, представен в нея през септември.

Двамата установили, че авторите на настоящата атака използват експлойта, за да инсталират на засегнатите машини Monero миньор, но те не са пригодили атаката си така че тя да се разпространява в мрежата и околните системи. „В заключение, може да кажа, че съдържанието, доставяно посредством BlueKeep е по-скоро аматьорско – копачите на крипто не са голяма заплаха. Само че с тази атака се затвърждава убеждението, че хората вече разбират ясно как да изпълняват атаки към случайни цели, и започват да го правят. Не точно тези действия са това, което ме притеснява толкова, колкото шестото ми чувство, което ми казва: „това ще става по-зле с времето“, пише Бомон в блог публикация.

Хътчинс, на свой ред отбелязва, че вероятно причината да не виждаме масирани атаки към BlueKeep подобно на тези към EternalBlue (станали причина за WannaCry пандемията) е риска, свързан с това и възможността атакуващата страна да бъде засечена и спряна. „Би могло да се спекулира относно това, че те могат да „изстрелят“ само един изстрел, който да порази голям брой цели, и това се превръща в игра на това кой ще е пръв. Нужно е да се отбележи, че масовото експлоатиране за облага може да е трудно, вземайки предвид рисковете, свързани с това“, пише той.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за