Podatność BlueKeep przywraca wspomnienia o WannaCry
Podatność BlueKeep przywraca wspomnienia o WannaCry
14 maja firma Microsoft opublikowała informację o luce w zabezpieczeniach umożliwiającą zdalne wykonanie kodu, nazwaną BlueKeep. Podatność ta wykorzystuję usługę pulpitu zdalnego systemu Windows (CVE-2019-0708) oraz została uznana przez CVSS za krytyczną, jak i nie wymagającą interakcji z użytkownikiem. Oznacza to, że posiadacze serwerów z systemami operacyjnymi, które są podatne na atak przy wykorzystaniu luki BlueKeep oraz są wystawione do Internetu, są narażeni na bezpośredni atak.
BlueKeep – Szczegóły
BlueKeep dotyczy starszych systemów operacyjnych: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows XP i Windows Server 2003. Nowsze wersję nie są narażone.
Windows 7 oraz Windows Server 2008 R2 są nadal szeroko używane, szczególnie w środowiskach przemysłowych oraz OT (Operational Technology) – podmioty infrastruktury krytycznej i producenci powinni szczególnie zwracać uwagę na ostrzeżenia dotyczące ryzyka wystąpienia tej luki.
Podatność BlueKeep może umożliwić nieuwierzytelnionemu zdalnemu użytkownikowi (atakującemu) połączenie się z serwerem Windows za pomocą protokołu pulpitu zdalnego (RDP) i wykonanie dowolnego kodu na zdalnym serwerze – bez interakcji z użytkownikiem.
Luka ta jest oznaczona również jako „wormable”, czyli jest podatna na dodatkowe ataki. Podatność BlueKeep może zostać wykorzystana przez atakującego po to by uzyskać dostęp do sieci organizacyjnej, co będzie pierwszym krokiem podczas ataku, a także do szybkiego przemieszczania się w sieci ofiary. W kolejnych krokach atakujący może uruchomić innego typu złośliwe oprogramowanie lub uzyskać dostęp do newralgicznych danych przedsiębiorstwa.
Czy podatność BlueKeep została już wykorzystana przez atakujących?
Od informacji przekazanej przez Microsoft o wykryciu luki zostało opublikowanych wiele „exploitów PoC”. Nawet bot na twitterze śledzi każdego z nich, jednak do tej pory nie zgłoszono ani rozproszonych ani ukierunkowanych ataków przy wykorzystaniu luki BlueKeep.
Jeżeli jednak są już dostępne exploity w trybie PoC, komercyjne – opłacane exploity mogą czaić się tuż za rogiem. W takim wypadku powszechne ataki przy wykorzystaniu luki BlueKeep są coraz bardziej prawdopodobne, co więcej zbliżają się wielkimi krokami.
Wspomnienie z WannaCry
Ze względu na podobieństwo do luk w zabezpieczeniach wykorzystywanych w ataku ransomware WannaCry, organizacje powinny być bardzo zaniepokojone podatnością BlueKeep. Prawdopodobnie to ona skłoniła firmę Microsoft do wydania poprawek dla wersji systemów, których nie obejmuje już wsparcie. Ostatni raz zrobili to, ponieważ luki w zabezpieczeniach serwera (SMB) zostały użyte w ataku WannaCry. (Globalna epidemia ransomware miała miejsce dokładnie dwa lata temu 12 maja 2017 roku. Dla organizacji, które nie nauczyły się za pierwszym razem, BlueKeep może wkrótce pokazać, w jakim stopniu odrobili lekcje pod kątem dobrej ochrony przed cyberatakami).
W jaki sposób może pomóc Skybox?
Pasywna ocena podatności
Skybox może pomóc, identyfikując platformy, które mają lukę BlueKeep za pośrednictwem systemu zarządzania poprawkami (SCCM) Microsoft System Center Configuration Manager (lub równoważnego systemu zarządzania poprawkami), nawet bez wykorzystania aktywnego skanera podatności.
Analiza ekspozycji na podstawie wyników ze skanera podatności
W przypadku zdarzeń BlueKeep wykrytych przez skanery innych firm, Skybox może nadać cenny kontekst sieciowy oraz nadać priorytety tym, które powinny zostać naprawione w pierwszej kolejności.
Symulacje ataków przeprowadzone przez Skybox analizują ścieżki sieciowe w celu wyróżnienia wrażliwych asset’ów narażonych na potencjalne źródła zagrożenia, również tych umieszczonych w Internecie. Współczynnik narażenia bierze pod uwagę newralgiczność danego asset’u (lub systemu, który się na nim znajduję), tak aby priorytety środków zaradczych były proste i skoncentrowane na szybkiej redukcji ryzyka.
Podczas gdy środki zaradcze dotyczące podatnych na ataki zasobów bezpośrednio narażonych na źródła zagrożenia otrzymują najwyższy priorytet, Skybox oblicza także potencjał kompromitacji poprzez boczny ruch sieci, jak w przypadku ataków wieloetapowych. Ekspozycje pośrednie znajdują również odzwierciedlenie w priorytetach środków zaradczych.
Osiągalność podatnych zasobów
Aby określić ekspozycję zasobów, funkcja Access Analyzer w Skybox Network Assurance może przetestować, czy porty RDP są dostępne z Internetu. Logika analityczna Skybox uwzględnia również rozwiązania podnoszące stopień bezpieczeństwa, takie jak zapory sieciowe i systemy IPS, aby określić, które urządzenia są narażone, a które z nich są chronione przed potencjalnym atakiem.
Możliwość szybkiej weryfikacji założeń poczynionych w głowie względem tego o czym mówią polityki dostępu jest bardzo ważne. Jak to miało miejsce w przypadku portów SMB podczas WannaCry, użytkownicy nie byli świadomi, że porty te są publicznie dostępne w ich sieciach. Automatyzując analizę dostępu, klienci mogą sprawdzić, czy dostęp do sieci jest zgodny lub czy naruszają przyjęte wewnętrznie zasady. Pozwala to również skutecznie zarządzać działaniami naprawczymi w sieci.
Dostępność poprawek oraz sposoby zapobiegania zagrożeniom
Klienci powinni natychmiast zastosować odpowiednie aktualizacje Microsoft. Jeżeli poprawki nie mogą zostać wdrożone od razu, Skybox zasugeruje również inne możliwe sposoby zapobiegania ryzyku, często unikalne dla każdego środowiska, aby chronić wrażliwe zasoby innymi dostępnymi technologiami lub metodami.
Ta strona używa pliki cookies, dzięki którym serwis może działać poprawnie. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki. AkceptujęCzytaj więcej
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
