Microsoft предупреждает, что атаки BlueKeep могут стать серьезнее

Как стало известно на прошлой неделе, уязвимость BlueKeep начали эксплуатировать злоумышленники. Пока баг применяется лишь для распространения майнера криптовалюты, то есть преступники не используют весь потенциал уязвимости, которая позволяет создать самораспространяющуюся малварь, что в теории может привести к эпидемии, как это было с WannaCry и NotPetya.

Однако специалисты Microsoft считают, что в будущем нас ожидают более разрушительные атаки, использующие BlueKeep, и расслабляться пока рано. Дело в том, что, по данным BinaryEdge, в сети до сих пор насчитывается более 700 000 уязвимых Windows-систем (не считая тех, что расположены внутри частных сетей, за брандмауэрами), то есть патчи по-прежнему установили далеко не все.

«Хотя на момент написания этой статьи не было совершено других атак, связанных с вымогателями и другим вредоносным ПО, через эксплуатацию BlueKeep, скорее всего, будут доставляться и другие полезные нагрузки, более эффективные и разрушительные, чем майнеры. BlueKeep можно эксплуатировать, не оставляя явных следов, и пользователи должны тщательно проверять системы, которые уже могут быть заражены или скомпрометированы», — предупреждают эксперты в официальном блоге компании, еще раз напоминая пользователям о необходимости срочно установить исправления.

Напомню, что критическая уязвимость CVE-2019-0708 (она же BlueKeep), связанна с работой Remote Desktop Services (RDS) и RDP,  и была исправлена Microsoft еще в мае текущего года. С помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю. Проблема опасна для Windows Server 2008, Windows 7, Windows 2003 и Windows XP, для которых, из-за высокой серьезности проблемы, были выпущены обновления безопасности.

Ранее эксперты Microsoft предупреждали об опасности BlueKeep дважды, а вместе с ними на проблему обращали внимание АНБ, Министерство внутренней безопасности США, Австралийский центр кибербезопасности, Национальный центр кибербезопасности Великобритании и многие другие. Специалисты сразу нескольких ИБ-компаний (включая Zerodium, McAfee, Check Point и «Лабораторию Касперского»), а также независимые исследователи разработали собственные proof of concept эксплоиты для уязвимости. Но эти эксплоиты не был опубликованы в открытом доступе из-за слишком высокого риска.

Ситуация изменилась в сентябре текущего года, когда разработчики Metasploit опубликовали в отрытом доступе демонстрационный эксплоит для BlueKeep. Именно это решение теперь и взяли на вооружение злоумышленники. Впрочем, пока, как и предсказывали ИБ-эксперты, хакеры не добились большой эффективности: эксплоит трудно заставить работать как должно, не провоцируя при этом возникновение BSOD.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.