В рамках майского «вторника обновлений» компания Microsoft исправила критическую уязвимость CVE-2019-0708 (она же BlueKeep), связанную с работой Remote Desktop Services (RDS) и RDP.
Хотя технические детали проблемы не были раскрыты из-за ее высокой серьезности, известно, что с помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю, как, например, было с известными вредоносами WannaCry и NotPetya. Проблема опасна для Windows Server 2008, Windows 7, Windows 2003 и Windows XP, для которых были выпущены обновления безопасности.
Для проблемы, которая может стать вторым WannaCry, уже были созданы PoC-эксплоиты, их продемонстрировали специалисты сразу нескольких ИБ-компаний (включая Zerodium, McAfee, Check Point и «Лабораторию Касперского»), а также независимые исследователи. Код этих эксплоитов не был опубликован в открытом доступе из-за слишком высокого риска.
Нужно сказать, что ИБ-эксперты бьют тревогу совсем не зря. Так, специалисты компании GreyNoise уже зафиксировали, что неизвестные активно сканируют интернет в поисках уязвимых систем. А компания Errata Security предупреждает, что перед BlueKeep по-прежнему уязвимы по меньшей мере около миллиона систем.
В конце прошлой неделе компания Microsoft выпустила повторное предупреждение, вновь призвав компании и рядовых пользователей обратить внимание на BlueKeep и срочно установить патчи. Дело в том, что в сети уже появился урезанный вариант proof-of-concept эксплоита. Эта вариация эксплоита позволяет только осуществить DoS-атаку на уязвимую машину, но, по мнению разработчиков и ИБ-специалистов, это тоже крайне тревожный сигнал.
There is now a PUBLIC working DoS PoC for CVE-2019-0708, please patch your systems if you haven't already... and if you don't? you can't cry to the media 2 years later blaming NCSC for your lack of patches... pic.twitter.com/a0d1jR23qb
— Jamie Hankins (@2sec4u) May 31, 2019
«Microsoft уверена, что для этой уязвимости существует уже эксплоит, и если данные последних отчетов верны, почти миллион компьютеров, подключенных к интернету, по-прежнему уязвимы перед CVE-2019-0708. Нужен всего один уязвимый компьютер, подключенный к интернету, чтобы обеспечить потенциальный вход в [...] корпоративные сети, где может распространиться сложное вредоносное ПО, поразив компьютеры на предприятии», — пишет в блоге компании Саймон Поуп (Simon Pope), директор по реагированию на инциденты, Microsoft Security Response Center.
