Pierwsze uderzenie exploit’u BlueKeep – czy wyciągnęliśmy wnioski?
Pierwsze uderzenie exploit’u BlueKeep – czy wyciągnęliśmy wnioski?
Kilka tygodni temu świat obudził się z wiadomością o pierwszym exploicie BlueKeep. Exploit ten jest oczekiwany od maja, kiedy Microsoft wykonał nietypowy krok, wydając poprawki dla nieobsługiwanych wersji produktu wraz z ostrzeżeniem, że „możliwe, że nie zobaczymy tej luki w złośliwym oprogramowaniu. Ale to nie pora na obstawianie zakładów ”.
Ten krok Microsoftu podkreślił wagę BlueKeep: luka (CVE-2019-0708) występuje w Pulpicie zdalnym systemu Windows (standardowa usługa systemu Windows), nie wymaga użycia interakcji użytkownika i umożliwia wykonanie obcego kodu. Wszystko to oznacza, że użytkownik posiadający w swoich zasobach serwer, który jest dotknięty powyższą podatnością z systemem Windows „wystawionym na świat” z punktu widzenia sieciowego jest narażony na bezpośredni atak. Co więcej, luka ta jest „podatna na działanie”, co oznacza, że może zostać automatycznie rozprzestrzeniona na dowolną liczbę systemów sieciowych po naruszeniu jednego z nich.
Pierwszy Exploit BlueKeep
Łatwo jest wyobrazić sobie początkową panikę, która wybuchła po tym, jak podejrzane „niebieskie ekrany śmierci” zaczęły pojawiać się w honeypotach badaczy szkodliwego oprogramowania, co wskazywało na aktywność BlueKeep. Jednak pierwszy exploit BlueKeep ujawnił się z dużo mniejszym hukiem. Exploit był zainteresowany generowaniem zysków, niezależnie od tego, jak wielki był potencjał wykorzystania podatności. Nie posiadał żadnych cech przypominających robaki, które zostały oznakowane zarówno przez Microsoft, jak i rząd USA.
Nie oznacza to, że użytkownicy koniecznie biorą sobie ostrzeżenia Microsoft do serca. Analiza przeprowadzona przez SANS Institute wykazała, że po wykryciu pierwszych exploitów BlueKeep wzrost aktywności w zakresie pobierania patch’ów do narażonych systemów był nieznaczny. Biorąc pod uwagę, to jak bardzo newralgiczna z poziomu bezpieczeństwa jest to luka oraz jak poważne mogą być konsekwencję jej wykorzystania, brak pośpiechu w łataniu systemów może niepokoić. Prawdopodobnie kolejny poważniejszy atak, jest tuż za rogiem, a lekcji wyciągniętych z WannaCry na temat terminowego i kompleksowego łatania nie należy zapominać. Firmy, wielkie organizacje oraz osoby prywatne powinny upewnić się, że są na to przygotowane już teraz.
Zapobieganie BlueKeep
Aby zrozumieć, w jaki sposób zapobiec wykorzystaniu exploit’u, który umożliwia wykorzystywanie zasobów do kopania kryptowaluty, najpierw musisz zrozumieć, w jaki sposób przestępcom udało się uzyskać dostęp. Przypuszcza się, że dobrze znany domyślny port RDP 3389 pozostawiono otwarty na zaatakowanych maszynach, podobnie jak na maszynach typu honeypot, które jako pierwsze wykryły tego rodzaju atak. Jedynymi użytkownikami, którzy padną ofiarą tego ataku, będą ci, którzy pozostawiają ten port otwarty i poza tym nie chronią swojego systemu za pomocą odpowiednich aktualizacji systemu Windows. Nie podejmowanie żadnych czynności w tym zakresie, jest sprzeczne zarówno z zaleceniami branży bezpieczeństwa, jak i wszystkich odpowiedzialnych organów. Każdy kto stara się zachować wysoki poziom bezpieczeństwa w tym zakresie, powinien być bezpieczny.
W przeciwnym razie najważniejszą rzeczą, jaką możesz zrobić, aby chronić się przed BlueKeep, jest zastosowanie poprawek dostarczonych przez Microsoft w maju. Jeśli pracujesz z dużymi, rozproszonymi sieciami, będzie to bardziej skomplikowane, niż się wydaje. Więcej porad na temat ograniczania zagrożenia BlueKeep poprzez pasywną ocenę podatności, analizę wyników skanowania pod kątem narażenia organizacji na atak oraz określenie dostępności wrażliwych zasobów można znaleźć na blogu producenta Skybox.
Ta strona używa pliki cookies, dzięki którym serwis może działać poprawnie. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki. AkceptujęCzytaj więcej
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
