Ďalší exploit na vážnu zraniteľnosť Windows BlueKeep, napísať ho má byť mierne ťažké

Značky: bezpečnosťWindows

DSL.sk, 6.6.2019

Vyvinutý bol ďalší funkčný exploit na veľmi vážnu bezpečnostnú zraniteľnosť CVE-2019-0708 známu tiež pod označením BlueKeep, keď exploit vyvinul aj bezpečnostný expert Sean Dillon zo spoločnosti RiskSense.

Dillon pomocou exploitu demonštroval hacknutie serverovej verzie Windows Server 2008 R2.

Podľa jeho vyjadrenia pre Ars technica vyvinúť exploit je len mierne ťažké pre niekoho s potrebnými znalosťami fungovania Windows a jemu to trvalo desiatky hodín. Mechanizmus exploitu je podľa neho jednoduchší ako v prípade exploitu EternalBlue použitého pred dvomi rokmi v červe WannaCry.

Exploit je už niekoľkým funkčným exploitom vyvinutým bezpečnostnými expertami pre BlueKeep, dá sa tak očakávať aj možné vyvinutie a použitie exploitu aj útočníkmi. Užívateľom, ktorí tak neurobili, je tak odporúčané čo najskôr aktualizovať svoju zraniteľnú verziu Windows.

Pri poslednom vážnom útoku červa WannaCry využívajúceho vážnu zraniteľnosť vo Windows SMB pred dvomi rokmi mali útočníci výhodu v úniku funkčného exploitu EternalBlue, ktorý použili. Exploit bol vyvinutý a unikol NSA.

Rough draft MSF module. Still too dangerous to release, lame sorry. Maybe after first mega-worm?

🚨 PATCH #BlueKeep CVE-2019-0708 🚨

35c2571801b3b6c4297ed362cf901dc4e907ff32a276fb6544a2b9d0f643f207 pic.twitter.com/y0g9R9HNnc

— zǝɹosum0x0🦉 (@zerosum0x0) June 4, 2019

Zraniteľnosť s označením BlueKeep sa nachádza v komponente Remote Desktop Services zabezpečujúcom vzdialený prístup k desktopu cez protokol RDP a môže byť zneužitá na diaľku cez sieť, štandardne nevyžaduje žiadnu autentifikáciu užívateľa ani súčinnosť užívateľa a umožňuje spustenie útočníkom zvoleného kódu a získanie kontroly nad napadnutým systémom.

Nachádza sa vo Windows XP, Vista, 7, Server 2003, 2003 R2, 2008 a 2008 R2.

Zraniteľnosť je tak veľmi nebezpečná, keď umožňuje automatickú infekciu a šírenie škodlivého kódu typu červa. Zároveň port pre vzdialený prístup k desktopu majú často úmyselne prístupný z Internetu aj počítače inak sa nachádzajúce za firewallom. Podľa minulotýždňových informácií Errata Security bolo z Internetu prístupných cca 950 tisíc reálne zraniteľných počítačov na BlueKeep. Prípadný červ by tak mohol mať vážne následky, keď po infikovaní týchto počítačov priamo z Internetu by predpokladane mohol infikovať z týchto počítačov ďalšie veľké množstvo počítačov na interných sieťach, ktoré nemajú port 3389 prístupný z Internetu.

V prípade podporovaných systémov Windows 7, Server 2008 a Server 2008 R2 je aktualizácia šírená cez automatické aktualizácie prípadne sa dá stiahnuť na tejto stránke, pre Windows XP, Vista, Server 2003 a Server 2003 R2 môže byť stiahnutá z tejto stránky.

V prípade, že užívateľ nemôže z nejakých dôvodov uskutočniť aktualizáciu, zneužitiu zraniteľnosti sa dá zabrániť niekoľkými spôsobmi. Možné je zakázať službu Remote Desktop Services, zablokovať na firewalle TCP spojenia na port 3389 na zraniteľné počítače alebo v prípade Windows 7 a Server 2008 a 2008 R2 povoliť NLA, Network Level Authentication. V poslednom prípade sa dá zraniteľnosť ale stále zneužiť, ak útočník pozná nejaké platné prihlasovacie údaje.




Najnovšie články:



Diskusia:

Zranitelnost na Win7 Od: Leonid Faszinger | Pridané: 6.6.2019 10:57 Ak mam remote assistence a remote access vo Win7 vypnute (v nastaveniach System), potom som v pohode, ci? Alebo by som mal napriek tomu aj tak natvrdo deaktivovat sluzbu RDP v services.msc? Tieto remote featurky od Microsoftu som nikdy nepouzival. Stary dobry TeamViewer ... Odpovedať Známka: 5.0 Hodnotiť:

Re: Zranitelnost na Win7 Od: Leonid Faszinger | Pridané: 6.6.2019 11:04 Nebude lepsie a ucinnejsie aplikovat block na TCP port 3389 priamo v routri, ktory je pripojeny na WAN? Potom netreba vsetky pocitace v sieti konfigurovat, nakolko vsetky maju pristup na net vyhradne cez tento konkretny router (access point). Odpovedať Hodnotiť:

Re: Zranitelnost na Win7 Od: Nebude | Pridané: 6.6.2019 11:10 Nebude, dostaneš napr. Mail s prílohou, otvoríš spustí sa červ oskenuje vserky RDP v lokálnej sieti a zaútočí. Alebo stačí ak sa ti do siete niekto pripojí už s napadnutý notebookom. Výsledok rovnaký. Odpovedať Známka: 5.6 Hodnotiť:

ultraradikalny empaticizmus Od: syntaxterrorX .XXX | Pridané: 6.6.2019 11:47 Presne tak. Útočník získa kontrolu nad napadnutým systémom a potom sa oň musí až do smrti starať, takže používateľ ušetrí za servis i administráciu priekazne tak či tak. Odpovedať Známka: 8.2 Hodnotiť:

Re: Zranitelnost na Win7 Od: Leonid Faszinger | Pridané: 6.6.2019 20:33 OK, takza staci deaktivovat sluzbu/protokol? Tym padom cerv nebude schopny tuto masinu identifikovat? Maily cez klienta v PC zo zasady neprevadzkujem, pripajam sa na IMAP server priamo cez weboveho klienta, pricom na serveri je skener havede. Odpovedať Hodnotiť:

Odpojiť internet z routru, vypnúť wifi. Naninštalovať linux. Od reg.: zatvor_Rit | Pridané: 6.6.2019 11:08 zákazať RDP servis zablokovať port 3389 treba aktualizovať Odpovedať Známka: 6.7 Hodnotiť:

Ništ také Od: Wernher | Pridané: 6.6.2019 13:06 Odinštalovať Windows. Port 3389 zostane zachovaný. Odpovedať Známka: 7.5 Hodnotiť:

Re: Odpojiť internet z routru, vypnúť wifi. Naninštalovať linux. Od: Leondid Faszinger | Pridané: 6.6.2019 20:36 A aktualizacia od Microsoftu naozaj nieco vyriesi (oravi) alebo len zakaze sluzbu RDP namiesto mna a prida do firewallu nove pravidlo? Do pici aj s Microsoftom ... Odpovedať Hodnotiť:

Re: Zranitelnost na Win7 Od: testerovac | Pridané: 6.6.2019 11:21 install arch Odpovedať Známka: 7.3 Hodnotiť:

popace Od: khejml | Pridané: 7.6.2019 9:41 dopece s majklsoftom, e citaj americky eii Odpovedať Hodnotiť:

Ano, deju sa veci. Od: Jozkooo | Pridané: 8.6.2019 14:38 † Odpovedať Hodnotiť:

Ano, deju sa veci. Od: Jozkooo | Pridané: 8.6.2019 14:38 † Odpovedať Hodnotiť:

Pridať komentár