Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
"DejaBlue" перенаправляется сюда. Чтобы узнать о бренде бутилированной воды, см. Dejà Blue .
Не путать с BlueBEEP .

BlueKeep
BlueKeep logo.svg
Логотип, созданный для уязвимости, с изображением крепости , укрепленной башни, построенной внутри замков .
Идентификатор (-ы) CVECVE - 2019-0708
Дата исправления14 мая 2019 г . ; 21 месяц назад [1] ( 2019-05-14 )
ПервооткрывательНациональный центр кибербезопасности Великобритании [2]
Затронутое программное обеспечениеверсии Microsoft Windows до Windows 8

BlueKeep ( CVE - 2019-0708 ) является уязвимость , которая была обнаружена в Microsoft «s Remote Desktop Protocol (RDP) реализации, что позволяет для возможности удаленного выполнения кода .

Впервые о нем сообщалось в мае 2019 года, он присутствует во всех неустановленных версиях Microsoft Windows на базе Windows NT, начиная с Windows 2000 и заканчивая Windows Server 2008 R2 и Windows 7 . 14 мая 2019 г. корпорация Майкрософт выпустила исправление безопасности (в том числе внеполосное обновление для нескольких версий Windows, срок эксплуатации которых подошел к концу, например, Windows XP ). 13 августа 2019 г. все вместе связаны с уязвимостями безопасности BlueKeep. под названием DejaBlue , как сообщается, влияет на более новые версии Windows, включая Windows 7 и все последние версии операционной системы до Windows 10 , а также на более старые версии Windows. [3]6 сентября 2019 года было объявлено, что эксплойт Metasploit уязвимости системы безопасности BlueKeep, являющейся червем, был выпущен в открытый доступ. [4]

История [ править ]

Уязвимость в системе безопасности BlueKeep была впервые обнаружена Национальным центром кибербезопасности Великобритании [2], а 14 мая 2019 года о ней сообщила Microsoft . Эксперт по компьютерной безопасности Кевин Бомонт в Twitter назвал уязвимость BlueKeep . BlueKeep официально отслеживаются как: CVE- 2019-0708 и является « wormable » удаленное выполнение кода уязвимости. [5] [6]

И Агентство национальной безопасности США (которое выпустило свои собственные рекомендации по уязвимости 4 июня 2019 г.) [7], и Microsoft заявили, что эта уязвимость потенциально может быть использована самораспространяющимися червями с Microsoft (на основе оценки исследователя безопасности, что почти 1 миллион устройств были уязвимы), заявив, что такая теоретическая атака может иметь такой же масштаб, что и атаки на основе EternalBlue, такие как NotPetya и WannaCry . [8] [9] [7]

В тот же день, что и рекомендация АНБ, исследователи из Координационного центра CERT раскрыли отдельную проблему безопасности, связанную с RDP, в Windows 10 May 2019 Update и Windows Server 2019 , сославшись на новое поведение, при котором используются учетные данные RDP Network Level Authentication (NLA). кэшируется в клиентской системе, и пользователь может автоматически повторно получить доступ к своему RDP-соединению, если его сетевое соединение прервано. Microsoft отклонила эту уязвимость как предполагаемое поведение, и ее можно отключить с помощью групповой политики . [10]

По состоянию на 1 июня 2019 г., видимо, не было публично известных активных вредоносных программ уязвимости; однако, возможно, были доступны нераскрытые коды подтверждения концепции (PoC), использующие уязвимость. [8] [11] [12] [13] 1 июля 2019 года британская охранная компания Sophos сообщила о рабочем примере такого PoC, чтобы подчеркнуть срочную необходимость исправления уязвимости. [14] [15] [16] 22 июля 2019 года более подробную информацию об эксплойте якобы раскрыл спикер конференции из китайской охранной фирмы. [17] 25 июля 2019 года компьютерные эксперты сообщили, что, возможно, доступна коммерческая версия эксплойта.[18] [19] 31 июля 2019 года компьютерные эксперты сообщили о значительном увеличении вредоносной активности RDP и предупредили, основываясь на истории эксплойтов от подобных уязвимостей, что активное использование уязвимости BlueKeep в дикой природе может быть неизбежным. [20]

13 августа 2019 года сообщалось, что соответствующие уязвимости безопасности BlueKeep, под общим названием DejaBlue , затронули более новые версии Windows, включая Windows 7 и все последние версии операционной системы вплоть до Windows 10 , а также более старые версии Windows. [3]

6 сентября 2019 года было объявлено, что эксплойт уязвимости системы безопасности BlueKeep, являющейся объектом червя, был выпущен в открытый доступ. [4] Первоначальная версия этого эксплойта, однако, была ненадежной, поскольку, как известно, вызывала ошибки « синий экран смерти » (BSOD). Позже было объявлено об исправлении, устраняющем причину ошибки BSOD. [21]

2 ноября 2019 года было сообщено о первой массовой хакерской кампании BlueKeep, которая включала в себя неудачную миссию по криптоджекингу . [22]

8 ноября 2019 года Microsoft подтвердила атаку BlueKeep и призвала пользователей немедленно исправить свои системы Windows. [23]

Механизм [ править ]

Протокол RDP использует «виртуальные каналы», настроенные перед аутентификацией, в качестве пути данных между клиентом и сервером для предоставления расширений. RDP 5.1 определяет 32 «статических» виртуальных канала, и «динамические» виртуальные каналы содержатся в одном из этих статических каналов. Если сервер связывает виртуальный канал «MS_T120» (канал, для которого нет законной причины для подключения клиента) со статическим каналом, отличным от 31, происходит повреждение кучи, что позволяет выполнять произвольный код на системном уровне. [24]

Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 и Windows Server 2008 R2 были названы Microsoft уязвимыми для этой атаки. Версии новее 7, такие как Windows 8 и Windows 10 , не пострадали. Агентство Cybersecurity and Infrastructure Security Agency заявило, что оно также успешно добилось выполнения кода через уязвимость в Windows 2000 . [25]

Смягчение [ править ]

14 мая 2019 года Microsoft выпустила исправления для этой уязвимости для Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 и Windows Server 2008 R2 . Сюда входят версии Windows, срок службы которых подошел к концу (например, Vista, XP и Server 2003), и поэтому на них больше не распространяются обновления безопасности. [8] Патч заставляет вышеупомянутый канал «MS_T120» всегда быть привязанным к 31, даже если сервер RDP запрошен иначе. [24]

АНБ рекомендовало дополнительные меры, такие как отключение служб удаленных рабочих столов и связанных с ними портов ( TCP 3389), если они не используются, и требование проверки подлинности на уровне сети (NLA) для RDP. [26] Согласно компании Sophos , занимающейся компьютерной безопасностью , двухфакторная аутентификация может сделать проблему RDP менее уязвимой. Однако лучшая защита - это отключить RDP от Интернета: отключите RDP, если он не нужен, и, если необходимо, сделайте RDP доступным только через VPN . [27]

См. Также [ править ]

  • Атака программы-вымогателя Bad Rabbit - 2017
  • Blaster (компьютерный червь)
  • Кибератака Dyn - 2016
  • Сассер (компьютерный червь)

Ссылки [ править ]

  1. ^ Фоли, Мэри Джо (2019-05-14). «Microsoft исправляет Windows XP, Server 2003, чтобы попытаться устранить уязвимость, вызываемую червями» . ZDNet . Проверено 7 июня 2019 .
  2. ^ a b Microsoft (май 2019 г.). «Руководство по обновлению безопасности - Благодарности, май 2019 г.» . Microsoft . Проверено 7 июня 2019 .
  3. ^ a b Гринберг, Энди (13.08.2019). "DejaBlue: новые ошибки в стиле BlueKeep повышают риск заражения Windows-червем" . Проводной . Проверено 13 августа 2019 .
  4. ^ a b Гудин, Дэн (2019-09-06). «Эксплойт для червячной ошибки BlueKeep Windows выпущен в широкую продажу - модуль Metasploit не так совершенен, как эксплойт EternalBlue. Тем не менее, он мощный» . Ars Technica . Проверено 6 сентября 2019 .
  5. ^ «Руководство клиента по CVE-2019-0708 - уязвимость удаленного выполнения кода служб удаленных рабочих столов» . Microsoft . 2019-05-14 . Проверено 29 мая 2019 .
  6. ^ "CVE-2019-0708 Уязвимость удаленного выполнения кода служб удаленных рабочих столов - уязвимость системы безопасности" . Microsoft . 2019-05-14 . Проверено 28 мая 2019 .
  7. ^ а б Чимпану, Каталин. «Даже АНБ призывает пользователей Windows установить патч для BlueKeep (CVE-2019-0708)» . ZDNet . Проверено 20 июня 2019 .
  8. ^ a b c Гудин, Дэн (31.05.2019). «Microsoft практически умоляет пользователей Windows исправить уязвимую уязвимость BlueKeep» . Ars Technica . Проверено 31 мая 2019 .
  9. ^ Уоррен, Том (2019-05-14). «Microsoft предупреждает об уязвимостях Windows, подобных WannaCry, и выпускает исправления для XP» . Грань . Проверено 20 июня 2019 .
  10. ^ «Microsoft отклоняет новую« ошибку »Windows RDP как особенность» . Обнаженная безопасность . 2019-06-06 . Проверено 20 июня 2019 .
  11. ^ Уиттакер, Зак (2019-05-31). «Microsoft предупреждает пользователей о необходимости исправления, поскольку появляются эксплойты для« червячной »ошибки BlueKeep» . TechCrunch . Проверено 31 мая 2019 .
  12. ^ О'Нил, Патрик Хауэлл (31.05.2019). «Вам необходимо исправить свои старые ПК с Windows прямо сейчас, чтобы исправить серьезную ошибку» . Gizmodo . Проверено 31 мая 2019 .
  13. ^ Уиндер, Дэйви (2019-06-01). «Предупреждение Microsoft« Обновите сейчас »для пользователей Windows» . Forbes . Проверено 1 июня 2019 .
  14. ^ Палмер, Дэнни (2019-07-02). «BlueKeep: Исследователи показывают, насколько опасным может быть этот эксплойт для Windows. Исследователи разработали атаку с подтверждением концепции после реинжиниринга патча Microsoft BlueKeep» . ZDNet . Проверено 2 июля 2019 .
  15. ^ Стокли, Марк (2019-07-01). «Эксплойт RDP BlueKeep показывает, почему вам действительно, действительно нужно исправлять» . NakedSecurity.com . Проверено 1 июля 2019 .
  16. ^ Персонал (2019-05-29). «CVE-2019-0708: уязвимость удаленного выполнения кода в службах удаленных рабочих столов (известная как BlueKeep) - бюллетень технической поддержки» . Sophos . Проверено 2 июля 2019 .
  17. ^ Гудин, Дэн (22.07.2019). «Вероятность деструктивного использования эксплойта BlueKeep возрастает с новым объяснением, размещенным в Интернете - слайды представляют собой наиболее подробную общедоступную техническую документацию из всех известных» . Ars Technica . Проверено 23 июля 2019 .
  18. ^ Cimpanu, Каталин (2019-07-25). «Американская компания, продающая эксплойт BlueKeep в качестве оружия - эксплойт для уязвимости, которая, по опасениям Microsoft, может вызвать следующий WannaCry, теперь продается коммерчески» . ZDNet . Проверено 25 июля 2019 .
  19. ^ Франчески-Bicchieral, Lorenzo (2019-07-26). «Фирма Cybersecurity Drops Code for the Incredically Dangerous Windows 'BlueKeep' Vulnerability - Исследователи из государственного подрядчика США Immunity разработали рабочий эксплойт для опасной ошибки Windows, известной как BlueKeep» . Vice . Проверено 26 июля 2019 .
  20. ^ Rudis, Боб (2019-07-31). «Возможные эксплойты BlueKeep: наши наблюдения и рекомендации» . Rapid7.com . Проверено 1 августа 2019 .
  21. ^ Cimpanu, Каталин (2019-11-11). «Эксплойт BlueKeep для исправления его проблемы с BSOD» . ZDNet .
  22. ^ Гринберг, Энди (2019-11-02). «Первый массовый взлом BlueKeep, наконец, наступил - но не паникуйте - после нескольких месяцев предупреждений пришла первая успешная атака с использованием уязвимости Microsoft BlueKeep - но она не так плоха, как могла бы» . Проводной . Проверено 3 ноября 2019 .
  23. ^ «Microsoft работает с исследователями для обнаружения и защиты от новых эксплойтов RDP» . Microsoft . 2019-11-07 . Проверено 9 ноября 2019 .
  24. ^ a b «RDP означает« Really DO Patch! »- Understanding the Wormable RDP Vulnerability CVE-2019-0708» . Блоги McAfee . 2019-05-21 . Проверено 19 июня 2019 .
  25. ^ Тунг, Лиам. «Национальная безопасность: мы протестировали атаку Windows BlueKeep, и теперь она работает, исправьте» . ZDNet . Проверено 20 июня 2019 .
  26. ^ Cimpanu, Каталин. «Даже АНБ призывает пользователей Windows установить патч для BlueKeep (CVE-2019-0708)» . ZDNet . Проверено 20 июня 2019 .
  27. ^ Стокли, Марк (17.07.2019). «RDP разоблачен: волки уже у вашей двери» . Sophos . Проверено 17 июля 2019 .

Внешние ссылки [ править ]

  • BlueKeep: патчи Центра обновления Windows ЗДЕСЬ , ЗДЕСЬ и ЗДЕСЬ ( Microsoft ).
  • Proof-of-Concept дефекта от Sophos
  • Техническое обсуждение дефекта на YouTube