В рамках майского «вторника обновлений» компания Microsoft исправила критическую уязвимость CVE-2019-0708 (она же BlueKeep), связанную с работой Remote Desktop Services (RDS) и RDP.

Хотя технические детали проблемы не были раскрыты из-за ее высокой серьезности, известно, что с помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю, как, например, было с известными вредоносами WannaCry и NotPetya. Проблема опасна для Windows Server 2008, Windows 7, Windows 2003 и Windows XP, для которых были выпущены обновления безопасности.

Для проблемы, которая может стать вторым WannaCry, уже были созданы PoC-эксплоиты, их продемонстрировали специалисты сразу нескольких ИБ-компаний (включая  Zerodium, McAfee, Check Point и «Лабораторию Касперского»), а также независимые исследователи. Код этих эксплоитов не был опубликован в открытом доступе из-за слишком высокого риска.

Нужно сказать, что ИБ-эксперты бьют тревогу совсем не зря. Так, специалисты компании GreyNoise уже зафиксировали, что неизвестные активно сканируют интернет в поисках уязвимых систем. А компания Errata Security предупреждает, что перед BlueKeep по-прежнему уязвимы по меньшей мере около миллиона систем.

В конце прошлой неделе компания Microsoft выпустила повторное предупреждение, вновь призвав компании и рядовых пользователей обратить внимание на BlueKeep и срочно установить патчи. Дело в том, что в сети уже появился урезанный вариант proof-of-concept эксплоита. Эта вариация эксплоита позволяет только осуществить DoS-атаку на уязвимую машину, но, по мнению разработчиков и ИБ-специалистов, это тоже крайне тревожный сигнал.

«Microsoft уверена, что для этой уязвимости существует уже эксплоит, и если данные последних отчетов верны, почти миллион компьютеров, подключенных к интернету, по-прежнему уязвимы перед CVE-2019-0708. Нужен всего один уязвимый компьютер, подключенный к интернету, чтобы обеспечить потенциальный вход в [...] корпоративные сети, где может распространиться сложное вредоносное ПО, поразив компьютеры на предприятии»,  — пишет в блоге компании Саймон Поуп (Simon Pope), директор по реагированию на инциденты, Microsoft Security Response Center.

Оставить мнение