В сети появился эксплоит для BlueKeep, Microsoft еще раз предупредила об опасности - «Новости»

Xakep #242. Фаззинг

• Содержание выпуска


• Подписка на «Хакер»

В рамках майского «вторника обновлений» компания Microsoft исправила критическую уязвимость CVE-2019-0708 (она же BlueKeep), связанную с работой Remote Desktop Services (RDS) и RDP.

Хотя технические детали проблемы не были раскрыты из-за ее высокой серьезности, известно, что с помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю, как, например, было с известными вредоносами WannaCry и NotPetya. Проблема опасна для Windows Server 2008, Windows 7, Windows 2003 и Windows XP, для которых были выпущены обновления безопасности.

Для проблемы, которая может стать вторым WannaCry, уже были созданы PoC-эксплоиты, их продемонстрировали специалисты сразу нескольких ИБ-компаний (включая  Zerodium, McAfee, Check Point и «Лабораторию Касперского»), а также независимые исследователи. Код этих эксплоитов не был опубликован в открытом доступе из-за слишком высокого риска.

Нужно сказать, что ИБ-эксперты бьют тревогу совсем не зря. Так, специалисты компании GreyNoise уже зафиксировали, что неизвестные активно сканируют интернет в поисках уязвимых систем. А компания Errata Security предупреждает, что перед BlueKeep по-прежнему уязвимы по меньшей мере около миллиона систем.

В конце прошлой неделе компания Microsoft выпустила повторное предупреждение, вновь призвав компании и рядовых пользователей обратить внимание на BlueKeep и срочно установить патчи. Дело в том, что в сети уже появился урезанный вариант proof-of-concept эксплоита. Эта вариация эксплоита позволяет только осуществить DoS-атаку на уязвимую машину, но, по мнению разработчиков и ИБ-специалистов, это тоже крайне тревожный сигнал.

There is now a PUBLIC working DoS PoC for CVE-2019-0708, please patch your systems if you haven't already… and if you don't? you can't cry to the media 2 years later blaming NCSC for your lack of patches… pic.twitter.com/a0d1jR23qb

— Jamie Hankins (@2sec4u) May 31, 2019

«Microsoft уверена, что для этой уязвимости существует уже эксплоит, и если данные последних отчетов верны, почти миллион компьютеров, подключенных к интернету, по-прежнему уязвимы перед CVE-2019-0708. Нужен всего один уязвимый компьютер, подключенный к интернету, чтобы обеспечить потенциальный вход в […] корпоративные сети, где может распространиться сложное вредоносное ПО, поразив компьютеры на предприятии»,  — пишет в блоге компании Саймон Поуп (Simon Pope), директор по реагированию на инциденты, Microsoft Security Response Center.