Тази седмица бяха регистрирани масирани опити за атака към CVE-2019-0708 – критичен проблем в Windows, свързан с Remote Desktop Protocol (RDP). Дупката беше запушена през май от Microsoft, но много крайни потребители и компании вероятно все още не са наложили обновлението (според BinaryEdge към момента става дума за над 700 000 Windows инсталации). А самата компания и много специалисти предупредиха, че това не търпи отлагане: става дума за мрежова услуга и сравнително лесно експлоатиране на проблема, като доставения зловреден код посредством дупката може да доведе до инфектирането на всички машини в мрежовия периметър – заплаха подобна на дупката в SMB v.1, която експлоатира WannaCry. Това, което е успокояващо в случая е, че за разлика от случая с WannaCry, масовото експлоатиране на проблема в RDS от множество страни не е факт. Засега. Това обаче няма да продължи дълго. Именно това напомниха тази седмица Microsoft за пореден път.

Друг успокояващ факт засега е този, че използвания в момента експлойт за BlueKeep, взет от популярния фреймуърк за извършване на проверка по сигурността Metasploit, не работи идеално. Това е и причината за срива на системите, които Кевин Бомон, разработчикът съобщил за скорошните опити за атака, наблюдава. Освен това в случая атакуващата страна не се опитва да засегне с един удар множество системи, а вместо това се опитва да ги „удари“ една по една, а доставяната заплаха чрез експлойта не е бил рансъмуер, както в случая с WannaCry, а обикновен криптоминьор.

Още от публикуването на експлойта в Metasploit обаче, Microsoft регистрират необичайно повишение в срива на RDP инстанциите – първоначално по десетина, а след това по 100 дневно, а самите атаки се разпространяват по целия свят: Русия, Великобритания, Испания, Германия, Украйна, Италия и др.

„Новите атаки по експлоатиране показват, че BlueKeep ще е заплаха дотогава, докато системите останат необновени, добрата хигиена по организация на кредитивите не бива постигната и цялостната защитна политика не бива спазвана. Призоваваме потребителите да идентифицират и обновят уязвимите системи веднага. Много от тези необновени устройства може да са оставени без наблюдение RDP устройства, поставени от доставчици и трети страни, за да управляват от време на време клиентски машини. И понеже BlueKeep може да бъде експлоатиран без да бъдат оставени следи, потребителите е нужно да инспектират надлежно системите, които може вече да са компрометирани или инфектирани“, обобщават от Microsoft.

Нужно е да бъде напомнено, че BlueKeep е критична уязвимост, която може да позволи отдалечено изпълнение на зловреден код към уязвима машина и пълното ѝ превземане от атакуващата страна. Особена заплаха за компании от всякакъв ранг представлява това, че CVE-2019-0708 позволява автоматично разпространение на доставяния посредством BlueKeep „зловреден товар“, и има пълния потенциал да се превърне в новия WannaCry или NotPetya.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за