Pierwsze uderzenie exploit’u BlueKeep – czy wyciągnęliśmy wnioski?

Kilka tygodni temu świat obudził się z wiadomością o pierwszym exploicie BlueKeep. Exploit ten jest oczekiwany od maja, kiedy Microsoft wykonał nietypowy krok, wydając poprawki dla nieobsługiwanych wersji produktu wraz z ostrzeżeniem, że „możliwe, że nie zobaczymy tej luki w złośliwym oprogramowaniu. Ale to nie pora na obstawianie zakładów ”.
Ten krok Microsoftu podkreślił wagę BlueKeep: luka (CVE-2019-0708) występuje w Pulpicie zdalnym systemu Windows (standardowa usługa systemu Windows), nie wymaga użycia interakcji użytkownika i umożliwia wykonanie obcego kodu. Wszystko to oznacza, że ​​użytkownik posiadający w swoich zasobach serwer, który jest dotknięty powyższą podatnością z systemem Windows „wystawionym na świat” z punktu widzenia sieciowego jest narażony na bezpośredni atak. Co więcej, luka ta jest „podatna na działanie”, co oznacza, że ​​może zostać automatycznie rozprzestrzeniona na dowolną liczbę systemów sieciowych po naruszeniu jednego z nich.

Pierwszy Exploit BlueKeep

Łatwo jest wyobrazić sobie początkową panikę, która wybuchła po tym, jak podejrzane „niebieskie ekrany śmierci” zaczęły pojawiać się w honeypotach badaczy szkodliwego oprogramowania, co wskazywało na aktywność BlueKeep. Jednak pierwszy exploit BlueKeep ujawnił się z dużo mniejszym hukiem. Exploit był zainteresowany generowaniem zysków, niezależnie od tego, jak wielki był potencjał wykorzystania podatności. Nie posiadał żadnych cech przypominających robaki, które zostały oznakowane zarówno przez Microsoft, jak i rząd USA.
Nie oznacza to, że użytkownicy koniecznie biorą sobie ostrzeżenia Microsoft do serca. Analiza przeprowadzona przez SANS Institute wykazała, że ​​po wykryciu pierwszych exploitów BlueKeep wzrost aktywności w zakresie pobierania patch’ów do narażonych systemów był nieznaczny. Biorąc pod uwagę, to jak bardzo newralgiczna z poziomu bezpieczeństwa jest to luka oraz jak poważne mogą być konsekwencję jej wykorzystania, brak pośpiechu w łataniu systemów może niepokoić. Prawdopodobnie kolejny poważniejszy atak, jest tuż za rogiem, a lekcji wyciągniętych z WannaCry na temat terminowego i kompleksowego łatania nie należy zapominać. Firmy, wielkie organizacje oraz osoby prywatne powinny upewnić się, że są na to przygotowane już teraz.

Zapobieganie BlueKeep

Aby zrozumieć, w jaki sposób zapobiec wykorzystaniu exploit’u, który umożliwia wykorzystywanie zasobów do kopania kryptowaluty, najpierw musisz zrozumieć, w jaki sposób przestępcom udało się uzyskać dostęp. Przypuszcza się, że dobrze znany domyślny port RDP 3389 pozostawiono otwarty na zaatakowanych maszynach, podobnie jak na maszynach typu honeypot, które jako pierwsze wykryły tego rodzaju atak. Jedynymi użytkownikami, którzy padną ofiarą tego ataku, będą ci, którzy pozostawiają ten port otwarty i poza tym nie chronią swojego systemu za pomocą odpowiednich aktualizacji systemu Windows. Nie podejmowanie żadnych czynności w tym zakresie, jest sprzeczne zarówno z zaleceniami branży bezpieczeństwa, jak i wszystkich odpowiedzialnych organów. Każdy kto stara się zachować wysoki poziom bezpieczeństwa w tym zakresie, powinien być bezpieczny.
W przeciwnym razie najważniejszą rzeczą, jaką możesz zrobić, aby chronić się przed BlueKeep, jest zastosowanie poprawek dostarczonych przez Microsoft w maju. Jeśli pracujesz z dużymi, rozproszonymi sieciami, będzie to bardziej skomplikowane, niż się wydaje. Więcej porad na temat ograniczania zagrożenia BlueKeep poprzez pasywną ocenę podatności, analizę wyników skanowania pod kątem narażenia organizacji na atak oraz określenie dostępności wrażliwych zasobów można znaleźć na blogu producenta Skybox.