ИБ-эксперты зафиксировали первую кампанию, массово использующую эксплоит для уязвимости BlueKeep. К счастью, пока активен не саморазмножающийся червь, как ранее опасались эксперты: при помощи уязвимости распространяется лишь криптовалютный майнер.
Критическая уязвимость CVE-2019-0708 (она же BlueKeep), связанная с работой Remote Desktop Services (RDS) и RDP, была исправлена Microsoft еще в мае текущего года. С помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю, как, например, было с известными вредоносами WannaCry и NotPetya. Проблема опасна для Windows Server 2008, Windows 7, Windows 2003 и Windows XP, для которых, из-за высокой серьезности проблемы, были выпущены обновления безопасности.
В сентябре текущего года разработчики Metasploit опубликовали в отрытом доступе демонстрационный эксплоит для BlueKeep, и теперь злоумышленники используют именно это решение.
Вредоносная кампания активна уже две недели, с 23 октября, и первым ее заметил известный британский специалист Кевин Бомонт (Kevin Beaumont). Атаки зафиксировали honeypot-серверы, созданные им много месяцев назад, о которых даже сам эксперт уже успел забыть. Вскоре наблюдение Бомонта подтвердил и другой эксперт — Маркус «MalwareTech» Хатчинсон, который, в частности, известен благодаря тому, что остановил эпидемию WannaCry.
Как уже было сказано выше, вопреки опасениям специалистов, пока эксплуатация BlueKeep совсем не похожа на эпидемии, подобные WannaCry, NotPetya и Bad Rabbit. Дело в том, что пока злоумышленники не используют возможности BlueKeep для создания самораспространяющейся угрозы. По-видимому, сейчас хакеры находят уязвимые Windows-системы с открытыми портами RDP, используют эксплоит от разработчиков Metasploit и устанавливают таким образом майнер криптовалют.
Более того, Бомонт сообщил журналистам ZDNet, что атаки, похоже, не работают как должно: они лишь заставили 10 из 11 «приманок» аварийно завершить работу. Об этом на протяжении последних месяцев не раз говорили ИБ-специалисты, — эксплоит трудно заставить работать как нужно, не провоцируя при этом возникновение BSOD.
I don’t think there’s a worm (or at least anything bad enough to care about). There’s finally generic exploitation tho for sure.
— Kevin Beaumont (@GossiTheDog) November 2, 2019
Update: according to netflow it doesn't appear to be self propagating, I assume a list of vulnerable IPs are being fed to a server which performs the exploitation.
— MalwareTech (@MalwareTechBlog) November 3, 2019
Тем не менее, журналисты и эксперты отмечают, что это первая зафиксированная попытка использования опасного эксплоита в масштабной операции, а не для атаки на конкретную цель.
Хотя для установки исправлений у компаний и пользователей были месяцы, BlueKeep по-прежнему представляет опасность, так как в сети до сих пор насчитывается порядка 750 000 уязвимых Windows-систем (не считая тех, что расположены внутри частных сетей, за брандмауэрами).