В рамках майского «вторника обновлений» компания Microsoft исправила критическую уязвимость CVE-2019-0708 (она же BlueKeep), связанную с работой Remote Desktop Services (RDS) и RDP. Хотя технические детали проблемы не раскрывались из-за ее высокой серьезности, известно, что с помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю.Напомню, проблема опасна для Windows Server 2008, Windows 7, Windows 2003 и Windows XP.
Невзирая на отсутствие подробностей о баге, ИБ-эксперты уже продемонстрировали ряд эксплоитов для свежей проблемы. К примеру, инженеры McAfee опубликовали видео работающего эксплоита, с помощью которого на уязвимой машине запускается калькулятор.
Хотя код эксплоита опубликован не был, исследователи подтверждают информацию, ранее обнародованную Microsoft, и пишут, что снизить риски от этой проблемы возможно включив Network Level Authentication (NLA). Кроме того в McAfee рекомендуют отключить или ограничить RDP, а также следить за клиентскими запросами MS_T120 по всем каналам, отличным от 31.
Кроме того, проблему CVE-2019-0708 можно эксплуатировать для реализации DoS-атак, что уже успешно продемонстрировали эксперты Check Point и «Лаборатории Касперского».
The last 3 days were intense, but with help from the @_CPResearch_ team, we now have a working BSOD PoC for CVE-2019-0708.
— Eyal Itkin (@EyalItkin) May 21, 2019
Time to catch some sleep. pic.twitter.com/GUy8Jya2OC
We analyzed the vulnerability CVE-2019-0708 and can confirm that it is exploitable.
— Boris Larin (@oct0xor) May 20, 2019
We have therefore developed detection strategies for attempts to exploit it and would now like to share those with trusted industry parties.
Please contact: nomoreworm@kaspersky.com pic.twitter.com/pEzuEzok0d
Также работающий PoC-эксплоит для уязвимости BlueKeep создал ИБ-исследователь, известный под псевдонимом Valthek, и работоспособность этого решения (пока не опубликованного в открытом доступе) уже подтвердили эксперты McAfee.
Учитывая серьезность проблемы BlueKeep, а также многочисленные эксплоиты, разработанные экспертами, хакеры явно тоже не заставят себя ждать, и вскоре можно ожидать новостей об эксплуатации свежей уязвимости в реальных атаках.
