Эксперты продолжают изучать проблему BlueKeep (CVE-2019-0708) и ее возможные последствия. На этот раз исследователи компании Errata Security уделили внимание потенциальному количеству уязвимых устройств, которых, как предполагалось ранее, насчитывалось более семи миллионов.
Напомню, что уязвимость, связанную с работой Remote Desktop Services (RDS) и RDP, исправили в рамках майского «вторника обновлений», и тогда же о ней стало известно широкой публике. С помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю, как, например, было с известными вредоносами WannaCry и NotPetya. Уязвимость представляет опасность для Windows Server 2008, Windows 7, Windows 2003 и Windows XP.
Для проблемы уже были созданы PoC-эксплоиты, их продемонстрировали специалисты сразу нескольких ИБ-компаний (включая McAfee, Check Point и «Лабораторию Касперского») и независимые исследователи. Пока код этих эксплоитов не был опубликован в открытом доступе из-за слишком большого риска. К тому же специалисты компании GreyNoise уже сообщили о том, что неизвестные активно сканируют интернет в поисках уязвимых систем.
Вчера специалисты компании Errata Security опубликовали более точную статистику о количестве уязвимых перед BlueKeep устройств. Дело в том, что изначально предполагалось, что уязвимость представляет угрозу для 7,6 млн систем, но теперь аналитики заявляют, что это не так.
Согласно обновленной статистике Errata Security, уязвимость BlueKeep по-прежнему опасна лишь для 950 000 систем. Оказалось, что порт 3389, открытый на многих устройствах, дезориентировал специалистов ранее: большинство этих машин вообще не работают на Windows или не используют RDP на этом порту, а значит, уязвимость CVE-2019-0708 им неопасна.
Эксперты уверяют, что применение инструмента rdpscan доказало, что подавляющее большинство Windows-систем с включенным RDP, доступные через интернет, безопасны: около полутора миллионов таких устройств отвечают на сканирования способом, специфичным для уже пропатченных систем. Впрочем, не стоит забывать о том, что аналитики Errata Security не могли протестировать системы во внутренних сетях компаний, а там тоже скрывается немало уязвимых девайсов.
В Errata Security ожидают, что хакеры напишут эксплоиты для BlueKeep в ближайший месяц или два, а затем непропатченные системы, уязвимые перед проблемой, ждет волна атак и настоящий хаос.
Стоит отметить, что в начале текущей недели также стало известно, что уязвимость CVE-2019-0708 представляет угрозу даже для медицинских продуктов компании Siemens Healthineers (дочерняя компания Siemens), включая такие решения, как MagicLinkA, MagicView, Medicalis, Screening Navigator. Разработчики призывают администраторов как можно скорее установить патчи, выпущенные Microsoft.