В рамках майского «вторника обновлений» компания Microsoft исправила критическую уязвимость CVE-2019-0708 (она же BlueKeep), связанную с работой Remote Desktop Services (RDS) и RDP.
Хотя технические детали проблемы изначально не были раскрыты из-за ее высокой серьезности, известно, что с помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю, как, например, было с известными вредоносами WannaCry и NotPetya. Проблема опасна для Windows Server 2008, Windows 7, Windows 2003 и Windows XP, для которых были выпущены обновления безопасности.
Напомню, что эксперты Microsoft предупреждали об этой проблеме уже дважды, а специалисты сразу нескольких ИБ-компаний (включая Zerodium, McAfee, Check Point и «Лабораторию Касперского»), а также независимые исследователи уже продемонстрировали proof of concept эксплоиты для BlueKeep. Код этих эксплоитов не был опубликован в открытом доступе из-за слишком высокого риска.
Хуже того, аналитики компании GreyNoise зафиксировали, что неизвестные активно сканируют интернет в поисках уязвимых систем. А компания Errata Security предупреждает, что перед BlueKeep по-прежнему уязвимы по меньшей мере около миллиона систем.
Теперь независимый ИБ-эксперт Zǝɹosum0x0 сообщил, что разработал модуль MetaSploit для BlueKeep, который опасен для машин на базе Windows XP, 7 и Server 2008.
Исследователь опубликовал PoC-видео, демонстрирующее успешную атаку на Windows 2008. Над уязвимой системой можно получить полный контроль, если воспользоваться инструментом Mimikatz для извлечения учетных данных.
Эксперт сообщает, что его эксплоит работает одинаково хорошо для Windows 7 и Server 2008 R2. Также Zǝɹosum0x0 рассказал изданию BleepingComputer, что если изначально у многих были сомнения в опасности данной уязвимости, то теперь многие независимые специалисты доказали, что добиться удаленного исполнения произвольного кода с ее помощью абсолютно реально. Zǝɹosum0x0 уверен, что в скором времени может появиться новый «крупный» червь, использующий BlueKeep.
Пока эксперт не стал обнародовать модуль для MetaSploit в открытом доступе и пошутил в Twitter, что подождет появления первого мега-червя.
Rough draft MSF module. Still too dangerous to release, lame sorry. Maybe after first mega-worm?
— zǝɹosum0x0? (@zerosum0x0) June 4, 2019
? PATCH #BlueKeep CVE-2019-0708 ?
35c2571801b3b6c4297ed362cf901dc4e907ff32a276fb6544a2b9d0f643f207 pic.twitter.com/y0g9R9HNnc
Стоит сказать, что об опасности BlueKeep и необходимости установки патчей уже предупредили даже эксперты АНБ. Они отмечают, что опасность бага оценивается на 9,8 баллов по десятибалльной шкале и тоже напоминают о разрушительной эпидемии WannaCry, произошедшей в 2017 году.