ИБ-эксперты пояснили, почему опасно недооценивать уязвимость BlueKeep
Специалисты осуществили реверс-инжиниринг выпущенного Microsoft исправления для уязвимости BlueKeep.
Пользователи Windows, не установившие исправление для уязвимости BlueKeep, подвергают себя большому риску, предупреждают специалисты компании Sophos. Исследователи осуществили реверс-инжиниринг патча, выпущенного Microsoft почти два месяца назад, и создали PoC-эксплоит, позволяющий атаковать системы RDP без введения жертвой каких-либо данных. Если атакующий сможет сделать то же самое, у него появится возможность запускать вредоносные команды, уверены эксперты.
О «червеподобной» уязвимости BlueKeep (CVE-2019-0708) впервые стало известно в мае нынешнего года. С ее помощью злоумышленник может подключаться к сервисам Remote Desktop Protocol (RDP) и запускать команды для изменения и похищения данных, установки вредоносного ПО и т.д. Более того, BlueKeep позволяет осуществлять атаки наподобие WannaCry, вызвавших хаос в 2017 году.
Проблема затрагивает Windows XP, Windows 7, Windows Server 2003 и Windows Server 2008 и является настолько серьезной, что Microsoft в качестве исключения выпустила обновления безопасности для более неподдерживаемых версий своей ОС. К счастью, никаких свидетельств эксплуатации BlueKeep в реальных атаках обнаружено не было.
Используя виртуальную машину Windows 7, специалисты Sophos с помощью специальных возможностей Windows проэксплуатировали BlueKeep для изменения меню специальных возможностей, обошли механизмы безопасности и получили доступ к системе.
По словам экспертов, уязвимость пригодится киберпреступникам, желающим заразить вредоносным ПО как можно больше компьютеров, независимо от того, кому они принадлежат. В связи с этим они решили не публиковать свой PoC-эксплоит, зато выпустили бюллетень с техническими рекомендациями.