BlueKeep - BlueKeep
 Un logo creat pentru vulnerabilitatea, oferind un Keep , un turn fortificat construit în termen de castele .
| |
| Identificatori CVE | CVE - 2019-0708 |
|---|---|
| Data corecției | 14 mai 2019 |
| Descoperitor | Centrul Național de Securitate Cibernetică din Marea Britanie |
| Software afectat | versiuni pre- Windows 8 de Microsoft Windows |
BlueKeep ( CVE - 2,019-0,708 ) este o vulnerabilitate de securitate , care a fost descoperit în Microsoft e Remote Desktop Protocol de punere în aplicare (PDR), care permite posibilitatea executarea de cod de la distanță .
Raportat pentru prima dată în mai 2019, este prezent în toate versiunile de Microsoft Windows bazate pe Windows NT, de la Windows 2000 la Windows Server 2008 R2 și Windows 7 . Microsoft a emis un patch de securitate (incluzând o actualizare în afara benzii pentru mai multe versiuni de Windows care au ajuns la sfârșitul vieții, cum ar fi Windows XP ) pe 14 mai 2019. La 13 august 2019, vulnerabilitățile de securitate BlueKeep legate, în mod colectiv denumit DejaBlue , s-a raportat că afectează versiunile mai noi de Windows, inclusiv Windows 7 și toate versiunile recente până la Windows 10 ale sistemului de operare, precum și versiunile mai vechi de Windows. La 6 septembrie 2019, un exploat Metasploit al vulnerabilității de securitate viitoare BlueKeep a fost anunțat că a fost lansat în domeniul public.
Istorie
Vulnerabilitatea de securitate BlueKeep a fost remarcată pentru prima dată de Centrul Național de Securitate Cibernetică din Marea Britanie și, la 14 mai 2019, raportată de Microsoft . Vulnerabilitatea a fost numită BlueKeep de către expertul în securitate informatică Kevin Beaumont pe Twitter . BlueKeep este urmărit oficial ca: CVE- 2019-0708 și este o vulnerabilitate de execuție a codului la distanță „ viermă ” .
Atât Agenția Națională de Securitate a SUA (care și-a emis propriul aviz cu privire la vulnerabilitate la 4 iunie 2019), cât și Microsoft au declarat că această vulnerabilitate ar putea fi utilizată de viermi cu auto-propagare , cu Microsoft (pe baza estimărilor unui cercetător de securitate că aproape 1 milion de dispozitive au fost vulnerabili) spunând că un astfel de atac teoretic ar putea fi de o scară similară cu atacurile bazate pe EternalBlue , precum NotPetya și WannaCry .
În aceeași zi cu consultativul NSA, cercetătorii Centrului de coordonare CERT au dezvăluit o problemă separată de securitate legată de RDP în actualizarea Windows 10 mai 2019 și Windows Server 2019 , citând un nou comportament în care acreditările de conectare RDP Network Level Authentication (NLA) sunt cache în sistemul client, iar utilizatorul poate recâștiga automat accesul la conexiunea RDP dacă conexiunea lor de rețea este întreruptă. Microsoft a respins această vulnerabilitate ca fiind un comportament intenționat și poate fi dezactivată prin intermediul politicii de grup .
Începând cu 1 iunie 2019, niciun malware activ al vulnerabilității nu părea să fie cunoscut public; cu toate acestea, este posibil să fi fost disponibile coduri de dovadă a conceptului nedivulgate (PoC) care exploatează vulnerabilitatea. La 1 iulie 2019, Sophos , o companie britanică de securitate, a raportat un exemplu de lucru al unui astfel de PoC, pentru a sublinia nevoia urgentă de a repara vulnerabilitatea. La 22 iulie 2019, mai multe detalii despre un exploat au fost dezvăluite de un vorbitor de conferință de la o firmă de securitate chineză. La 25 iulie 2019, experții în informatică au raportat că este posibil să fi fost disponibilă o versiune comercială a exploitului. La 31 iulie 2019, experții în informatică au raportat o creștere semnificativă a activității RDP rău intenționate și au avertizat, pe baza istoricelor exploitelor de la vulnerabilități similare, că o exploatare activă a vulnerabilității BlueKeep în natură ar putea fi iminentă.
La 13 august 2019, vulnerabilitățile legate de securitate BlueKeep, denumite în mod colectiv DejaBlue , au raportat că afectează versiunile mai noi de Windows, inclusiv Windows 7 și toate versiunile recente ale sistemului de operare până la Windows 10 , precum și versiunile mai vechi de Windows.
La 6 septembrie 2019, a fost lansat în domeniul public o exploatare a vulnerabilității de securitate vierme BlueKeep. Cu toate acestea, versiunea inițială a acestui exploit nu era de încredere, fiind cunoscută ca cauzând erori de „ ecran albastru al morții ” (BSOD). Ulterior a fost anunțată o remediere, eliminând cauza erorii BSOD.
La 2 noiembrie 2019, a fost raportată prima campanie de hacking BlueKeep la scară masivă și a inclus o misiune de criptojacking nereușită.
La 8 noiembrie 2019, Microsoft a confirmat un atac BlueKeep și a îndemnat utilizatorii să-și corecte imediat sistemele Windows.
Mecanism
Protocolul RDP utilizează „canale virtuale”, configurate înainte de autentificare, ca o cale de date între client și server pentru furnizarea de extensii. RDP 5.1 definește 32 de canale virtuale „statice”, iar canalele virtuale „dinamice” sunt conținute într-unul dintre aceste canale statice. Dacă un server leagă canalul virtual „MS_T120” (un canal pentru care nu există un motiv legitim pentru care un client să se conecteze) la un canal static altul decât 31, apare corupția heap care permite executarea arbitrară a codului la nivelul sistemului.
Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 și Windows Server 2008 R2 au fost denumite de Microsoft ca fiind vulnerabile la acest atac. Versiunile mai noi decât 7, cum ar fi Windows 8 și Windows 10 , nu au fost afectate. Agenția pentru securitate cibernetică și infrastructură a declarat că a realizat cu succes și executarea codului prin vulnerabilitatea pe Windows 2000 .
Atenuare
Microsoft a lansat patch-uri pentru vulnerabilitate pe 14 mai 2019, pentru Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 și Windows Server 2008 R2 . Aceasta a inclus versiuni de Windows care și-au atins sfârșitul vieții (cum ar fi Vista, XP și Server 2003) și, prin urmare, nu mai sunt eligibile pentru actualizări de securitate. Patch-ul forțează canalul "MS_T120" menționat mai sus să fie întotdeauna legat de 31, chiar dacă este cerut altfel de un server RDP.
NSA a recomandat măsuri suplimentare, cum ar fi dezactivarea serviciilor de birou la distanță și portul asociat ( TCP 3389) dacă nu este utilizat și necesită autentificare la nivel de rețea (NLA) pentru RDP. Potrivit companiei de securitate computerizată Sophos , autentificarea cu doi factori poate face ca problema RDP să fie mai puțin vulnerabilă. Cu toate acestea, cea mai bună protecție este să scoateți RDP de pe Internet: opriți RDP dacă nu este necesar și, dacă este necesar, faceți RDP accesibil doar printr-un VPN .