Jump to content

BlueKeep

BlueKeep
Логотип, созданный с учетом уязвимости, с изображением крепости укрепленной башни, построенной внутри замка.
Идентификатор(ы) CVE CVE - 2019-0708
Дата исправления 14 мая 2019 г .; 5 лет назад ( 14.05.2019 ) [1]
Первооткрыватель Национальный центр кибербезопасности Великобритании [2]
Затронутое программное обеспечение до Windows 8 версии Microsoft Windows

BlueKeep ( CVE - 2019-0708 ) — уязвимость безопасности , обнаруженная в Microsoft (RDP) компании реализации протокола удаленного рабочего стола , которая допускает возможность удаленного выполнения кода .

Впервые сообщалось в мае 2019 года, он присутствует во всех необновленных версиях Microsoft Windows на базе Windows NT, от Windows 2000 до Windows Server 2008 R2 и Windows 7 . Microsoft выпустила исправление безопасности (включая внештатное обновление для нескольких версий Windows, срок эксплуатации которых истек, таких как Windows XP ) 14 мая 2019 года. 13 августа 2019 года связанные с этим уязвимости безопасности BlueKeep были коллективно под названием DejaBlue Сообщается, что затрагиваются новые версии Windows, включая Windows 7 до Windows 10 , а также более старые версии Windows. и все последние версии операционной системы [3] 6 сентября 2019 года было объявлено, что Metasploit , использующий уязвимость безопасности BlueKeep, которая может быть использована для червей, стал общедоступным. [4]

Уязвимость безопасности BlueKeep впервые была отмечена Национальным центром кибербезопасности Великобритании. [2] и 14 мая 2019 года сообщила Microsoft . Уязвимость была названа BlueKeep экспертом по компьютерной безопасности Кевином Бомонтом в Твиттере . BlueKeep официально отслеживается как: CVE- 2019-0708 и представляет собой « червячную » уязвимость удаленного выполнения кода . [5] [6]

США И Агентство национальной безопасности (которое 4 июня 2019 года выпустило собственное предупреждение об уязвимости) [7] и Microsoft заявила, что эта уязвимость потенциально может быть использована самораспространяющимися червями , при этом Microsoft (по оценкам исследователя безопасности, что почти 1 миллион устройств были уязвимы) заявила, что такая теоретическая атака может иметь такой же масштаб, что и EternalBlue. атаки на основе такие как NotPetya и WannaCry . [8] [9] [7]

В тот же день, когда было опубликовано сообщение АНБ, исследователи Координационного центра CERT раскрыли отдельную RDP, проблему безопасности, связанную с в Windows 10 May 2019 Update и Windows Server 2019 , сославшись на новое поведение, при котором учетные данные для входа в систему RDP Network Level Authentication (NLA) кэшируются в клиентской системе, и пользователь может автоматически повторно получить доступ к своему RDP-соединению, если его сетевое соединение будет прервано. Microsoft отвергла эту уязвимость как намеренное поведение, и ее можно отключить с помощью групповой политики . [10]

По состоянию на 1 июня 2019 года ни об одном активном вредоносном ПО с этой уязвимостью не было публично известно; однако доказательства концепции (PoC), использующие эту уязвимость. могли быть доступны нераскрытые коды [8] [11] [12] [13] 1 июля 2019 года британская охранная компания Sophos сообщила о рабочем примере такого PoC, чтобы подчеркнуть острую необходимость исправления уязвимости. [14] [15] [16] 22 июля 2019 года более подробную информацию об эксплойте якобы раскрыл спикер конференции из китайской охранной фирмы. [17] 25 июля 2019 года компьютерные эксперты сообщили, что, возможно, доступна коммерческая версия эксплойта. [18] [19] 31 июля 2019 года компьютерные эксперты сообщили о значительном увеличении вредоносной активности RDP и предупредили, основываясь на истории использования аналогичных уязвимостей, что активное использование уязвимости BlueKeep в дикой природе может быть неизбежным. [20]

13 августа 2019 года , что связанные уязвимости безопасности BlueKeep, под общим названием DejaBlue сообщалось , затрагивают новые версии Windows, включая Windows 7 и все последние версии операционной системы до Windows 10 , а также более старые версии Windows. [3]

6 сентября 2019 года было объявлено, что эксплойт уязвимости безопасности BlueKeep, допускающей червь, стал общедоступным. [4] Однако первоначальная версия этого эксплойта была ненадежной, поскольку, как известно, вызывала ошибки « синего экрана смерти » (BSOD). Позже было объявлено об исправлении, устраняющем причину ошибки BSOD. [21]

2 ноября 2019 года было сообщено о первой массовой хакерской кампании BlueKeep, которая включала неудачную миссию по криптоджекингу. [22]

8 ноября 2019 года Microsoft подтвердила атаку BlueKeep и призвала пользователей немедленно обновить свои системы Windows. [23]

Механизм

[ редактировать ]

Протокол RDP использует «виртуальные каналы», настроенные перед аутентификацией, в качестве пути данных между клиентом и сервером для предоставления расширений. RDP 5.1 определяет 32 «статических» виртуальных канала, и «динамические» виртуальные каналы содержатся в одном из этих статических каналов. Если сервер связывает виртуальный канал «MS_T120» (канал, к которому нет законной причины для подключения клиента) со статическим каналом, отличным от 31, происходит повреждение кучи , что позволяет выполнять произвольный код на уровне системы. [24]

Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 и Windows Server 2008 R2 были названы Microsoft уязвимыми для этой атаки. Версии новее 7, такие как Windows 8 , Windows 10 и Windows 11 , не были затронуты. Агентство кибербезопасности и безопасности инфраструктуры заявило, что оно также успешно добилось выполнения кода через уязвимость в Windows 2000 . [25]

смягчение последствий

[ редактировать ]

Microsoft выпустила исправления для этой уязвимости 14 мая 2019 года для Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 и Windows Server 2008 R2 . Сюда входят версии Windows, срок эксплуатации которых истек (например, Vista, XP и Server 2003) и, следовательно, больше не подходящие для обновлений безопасности. [8] Патч заставляет вышеупомянутый канал «MS_T120» всегда привязываться к 31, даже если сервер RDP запрашивает иное. [24]

АНБ рекомендовало дополнительные меры, такие как отключение служб удаленных рабочих столов и связанного с ними порта ( TCP 3389), если он не используется, а также требование проверки подлинности на уровне сети (NLA) для RDP. [26] По данным компании Sophos , занимающейся компьютерной безопасностью , двухфакторная аутентификация может сделать проблему RDP менее уязвимой. Однако лучшая защита — отключить RDP от Интернета: отключить RDP, если он не нужен, а при необходимости сделать RDP доступным только через VPN . [27]

См. также

[ редактировать ]
  1. ^ Фоли, Мэри Джо (14 мая 2019 г.). «Microsoft исправляет Windows XP, Server 2003, чтобы попытаться предотвратить «червячную» уязвимость» . ЗДНет . Архивировано из оригинала 4 июня 2019 г. Проверено 7 июня 2019 г.
  2. ^ Jump up to: а б Microsoft (май 2019 г.). «Руководство по обновлению безопасности — Благодарность, май 2019 г.» . Майкрософт . Архивировано из оригинала 23 ноября 2019 г. Проверено 7 июня 2019 г.
  3. ^ Jump up to: а б Гринберг, Энди (13 августа 2019 г.). «DejaBlue: новые ошибки в стиле BlueKeep повышают риск заражения Windows-червем» . Проводной . Архивировано из оригинала 13 апреля 2021 г. Проверено 13 августа 2019 г.
  4. ^ Jump up to: а б Гудин, Дэн (6 сентября 2019 г.). «Эксплойт для опасной для червя ошибки BlueKeep Windows выпущен в дикую природу — модуль Metasploit не так отполирован, как эксплойт EternalBlue. Тем не менее, он мощный» . Арс Техника . Архивировано из оригинала 27 ноября 2019 г. Проверено 6 сентября 2019 г.
  5. ^ «Руководство для клиентов по CVE-2019-0708 — уязвимость удаленного выполнения кода служб удаленных рабочих столов» . Майкрософт . 14 мая 2019 г. Архивировано из оригинала 13 сентября 2019 г. Проверено 29 мая 2019 г.
  6. ^ «CVE-2019-0708 Уязвимость удаленного выполнения кода служб удаленных рабочих столов — уязвимость безопасности» . Майкрософт . 14 мая 2019 г. Архивировано из оригинала 29 мая 2019 г. Проверено 28 мая 2019 г.
  7. ^ Jump up to: а б Чимпану, Каталин. «Даже АНБ призывает пользователей Windows обновить BlueKeep (CVE-2019-0708)» . ЗДНет . Архивировано из оригинала 06 сентября 2019 г. Проверено 20 июня 2019 г.
  8. ^ Jump up to: а б с Гудин, Дэн (31 мая 2019 г.). «Microsoft практически умоляет пользователей Windows исправить уязвимую уязвимость BlueKeep» . Арс Техника . Архивировано из оригинала 22 июля 2019 г. Проверено 31 мая 2019 г.
  9. ^ Уоррен, Том (14 мая 2019 г.). «Microsoft предупреждает о серьезном эксплойте безопасности Windows, подобном WannaCry, и выпускает исправления для XP» . Грань . Архивировано из оригинала 02 сентября 2019 г. Проверено 20 июня 2019 г.
  10. ^ «Microsoft отвергает новую «ошибку» Windows RDP как функцию» . Голая охрана . 06.06.2019. Архивировано из оригинала 17 декабря 2019 г. Проверено 20 июня 2019 г.
  11. ^ Уиттакер, Зак (31 мая 2019 г.). «Microsoft предупреждает пользователей о необходимости исправления, поскольку появляются эксплойты для «червячной» ошибки BlueKeep» . ТехКранч . Архивировано из оригинала 31 мая 2019 г. Проверено 31 мая 2019 г.
  12. ^ О'Нил, Патрик Хауэлл (31 мая 2019 г.). «Вам нужно обновить свои старые компьютеры с Windows прямо сейчас, чтобы исправить серьезную ошибку» . Гизмодо . Архивировано из оригинала 01.06.2019 . Проверено 31 мая 2019 г.
  13. ^ Уиндер, Дэйви (01 июня 2019 г.). «Microsoft выдает предупреждение об обновлении сейчас» для пользователей Windows» . Форбс . Архивировано из оригинала 01.06.2019 . Проверено 1 июня 2019 г.
  14. ^ Палмер, Дэнни (2 июля 2019 г.). «BlueKeep: Исследователи показывают, насколько опасным может быть этот эксплойт для Windows. Исследователи разрабатывают атаку, подтверждающую концепцию, после обратного проектирования патча Microsoft BlueKeep» . ЗДНет . Архивировано из оригинала 2 июля 2019 г. Проверено 02 июля 2019 г.
  15. ^ Стокли, Марк (01 июля 2019 г.). «Эксплойт RDP BlueKeep показывает, почему вам действительно нужно исправлять ошибки» . NakedSecurity.com . Архивировано из оригинала 07.12.2019 . Проверено 1 июля 2019 г.
  16. ^ Персонал (29 мая 2019 г.). «CVE-2019-0708: уязвимость удаленного выполнения кода служб удаленных рабочих столов (известная как BlueKeep) — бюллетень технической поддержки» . Софос . Архивировано из оригинала 3 июля 2019 г. Проверено 02 июля 2019 г.
  17. ^ Гудин, Дэн (22 июля 2019 г.). «Вероятность деструктивного эксплойта BlueKeep возрастает благодаря новому объяснению, опубликованному в Интернете. На слайдах представлена ​​наиболее подробная общедоступная техническая документация из когда-либо существовавших» . Арс Техника . Архивировано из оригинала 08.11.2019 . Проверено 23 июля 2019 г.
  18. ^ Чимпану, Каталин (25 июля 2019 г.). «Американская компания, продающая использованный в качестве оружия эксплойт BlueKeep. Эксплойт для уязвимости, которая, как опасалась Microsoft, может вызвать следующий WannaCry, теперь продается на коммерческой основе» . ЗДНет . Архивировано из оригинала 08.11.2019 . Проверено 25 июля 2019 г.
  19. ^ Франчески-Бикьераль, Лоренцо (26 июля 2019 г.). «Фирма по кибербезопасности удалила код невероятно опасной уязвимости Windows BlueKeep. Исследователи из американского государственного подрядчика Immunity разработали рабочий эксплойт для опасной ошибки Windows, известной как BlueKeep» . Порок . Архивировано из оригинала 26 июля 2019 г. Проверено 26 июля 2019 г.
  20. ^ Рудис, Боб (31 июля 2019 г.). «Возможны появление эксплойтов BlueKeep: наши наблюдения и рекомендации» . Rapid7.com . Архивировано из оригинала 01 августа 2019 г. Проверено 1 августа 2019 г.
  21. ^ Чимпану, Каталин (11 ноября 2019 г.). «Эксплойт BlueKeep для решения проблемы BSOD» . ЗДНет . Архивировано из оригинала 18 ноября 2019 г. Проверено 13 ноября 2019 г.
  22. ^ Гринберг, Энди (2 ноября 2019 г.). «Наконец-то произошел первый массовый взлом BlueKeep, но не паникуйте. После нескольких месяцев предупреждений произошла первая успешная атака с использованием уязвимости Microsoft BlueKeep, но она далеко не так плоха, как могла бы быть» . Проводной . Архивировано из оригинала 2 декабря 2019 г. Проверено 3 ноября 2019 г.
  23. ^ «Microsoft сотрудничает с исследователями для обнаружения и защиты от новых эксплойтов RDP» . Майкрософт . 07.11.2019. Архивировано из оригинала 23 ноября 2019 г. Проверено 9 ноября 2019 г.
  24. ^ Jump up to: а б «RDP означает «Действительно сделайте исправление!» — Понимание уязвимости RDP, вызывающей черви, CVE-2019-0708» . Блоги McAfee . 21 мая 2019 г. Архивировано из оригинала 07 марта 2020 г. Проверено 19 июня 2019 г.
  25. ^ Тунг, Лиам. «Национальная безопасность: мы протестировали атаку Windows BlueKeep, и она работает, поэтому исправьте ее» . ЗДНет . Архивировано из оригинала 19 июня 2019 г. Проверено 20 июня 2019 г.
  26. ^ Чимпану, Каталин. «Даже АНБ призывает пользователей Windows обновить BlueKeep (CVE-2019-0708)» . ЗДНет . Архивировано из оригинала 06 сентября 2019 г. Проверено 20 июня 2019 г.
  27. ^ Стокли, Марк (17 июля 2019 г.). «РДП разоблачен: волки уже у твоей двери» . Софос . Архивировано из оригинала 18 октября 2019 г. Проверено 17 июля 2019 г.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 5fc2447eaf38aaebf0866f0b33cb5714__1718478960
URL1:https://arc.ask3.ru/arc/aa/5f/14/5fc2447eaf38aaebf0866f0b33cb5714.html
Заголовок, (Title) документа по адресу, URL1:
BlueKeep - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)