Sākumlapa » Apdraudējumi » Savvaļā novērots pirmais masveida mēģinājums ekspluatēt BlueKeep RDP ievainojamību

Savvaļā novērots pirmais masveida mēģinājums ekspluatēt BlueKeep RDP ievainojamību

Kiberdrošības pētnieki ir pamanījuši jaunu kiberuzbrukumu, kas, domājams, ir pirmais mēģinājums ņemt bruņojumā BlueKeep RDP ievainojamību, lai masveidā ielauztos neaisargātās sistēmās.

 

 

ziņo The Hacker News, šī gada maijā Microsoft izlaida ielāpus ļoti kritiskai attālas koda izpildes ievainojamībai WindowsRemote Desktop Services (RDP), sauktai par BlueKeep, kuru var izmantot, lai pilnībā pārņemtu kontroli pār neaizsargātām sistēmām, vienkārši nosūtot speciāli sagatavotus pieprasījumus caur RDP. BlueKeep jeb CVE-2019-0708 ir tārpveida ievainojamība, jo to var izmantot, lai ļaunprogrammatūra automātiski izplatītos no viena neaizsargāta datora uz otru, neprasot lietotāju mijiedarbību.

BlueKeep tiek uzskatīta par tik nopietnu draudu, ka kopš tās atklāšanas Microsoft un pat valdības aģentūras, piemēram, ASV NSA un Lielbritānijā NCSC, kas, starp citu, arī noziņoja šo ievainojamību Microsoft, nepārtraukti mudinājušas Windows lietotājus un sistēmu administratorus uzstādīt drošības ielāpus, pirms uzbrucēji iekļūst viņu sistēmās. Pat daudzi kiberdrošības uzņēmumi un individuālie pētnieki, kas veiksmīgi izstrādāja pilnībā strādājošu BlueKeep ekspluatācijas veidu, apņēmās to neizlaist plašākai sabiedrībai – īpaši tāpēc, ka gandrīz mēnesi pēc ielāpu izlaišanas teju miljons sistēmu tika atzītas par ievainojamām. Tāpēc kibernoziedzības pasaulei bija nepieciešami gandrīz seši mēneši, lai nāktu klajā ar BlueKeep ekspluatējumu, kas joprojām ir nekvalitatīvs un kuram pat nav tārpveidīgas pašizplatīšanās komponenta.

Par novērotu BlueKeep izmantošanu savvaļā pirmais sāka runāt Kevins Beumonts šo sestdien, kad viņa daudzie EternalPot RDP urķuslazdi (honey pots) tika avarēti un pēkšņi atsāknēti.

 

Markuss Hačinss, pētnieks, kurš 2017. gadā palīdzēja apturēt WannaCry izspiedēja uzliesmojumu (lasiet un skatieties filmu: Iznākusi dokumentāla filma par WannaCry un gigantiskā incidenta varoni Markusu Hačinsu), izanalizēja Beumonta kopīgotos datus un apstiprināja BlueKeep artefaktu esamību, kas izmantoti, lai sistēmā ievietotu kriptovalūtu racēju Monero Miner. Hačinss arī apstiprināja, ka ekspluatējums nesatur nekādas pašizplatīšanas iespējas, lai bez lietotāja palīdzības izplatītos no viena datora uz otru. Šķiet, ka nezināmie uzbrucēji vispirms skenē internetu, lai atrastu neaizsargātas sistēmas, un pēc tam mēģina tās inficēt.

Par laimi, ievainojamība BlueKeep pretēji pamatotajām bažām līdz šim nav radījusi WannaCry vai NotPetya mēroga kiberincidentus. Šobrīd nav skaidrs, cik daudzām sistēmām ir piekļuvuši kriptovalūtu pagrīdes “biznesmeņi”, taču tiem, kuri nav uzstādījuši Windows labojumus, būtu pēdējais laiks to darīt. Ja ievainojamību kaut kādu iemeslu dēļ nav iespējams aizlāpīt, tad tiek ieteikts atspējot RDP, ja tas nav vajadzīgs; bloķēt portu 3389, izmantojot ugunsmūri, vai padarīt to pieejamu tikai caur privātu VPN; iespējot tīkla līmeņa autentifikāciju (NLA) – tas ir daļējs pasākums, lai neautentificēts uzbrucējs nespētu izmantot tārpveidīgo ievainojamību.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

6 + 2 =

Uz augšu