Пристегнитесь: эксплойт для критической уязвимости BlueKeep появился в сети

Опубликовано at 03.06.2019
148 0

Всего неделя понадобилась с момента создания первых эксплоитов для BlueKeep, чтобы кто-то выложил один из них в свободный доступ в сеть. Урезанный вариант proof-of-concept эксплоита позволяет «всего лишь» осуществить DoS-атаку на уязвимую машину, но, по мнению разработчиков и ИБ-специалистов, это тоже крайне тревожный сигнал. Эксперты АКБ уверены, что еще через неделю появится полная версия PoC с удаленным выполнением произвольного кода (можете скринить), и тогда предприятиям паниковать будет уже поздно.

До этого Microsoft исправила критическую уязвимость CVE-2019-0708 (она же BlueKeep), связанную с работой Remote Desktop Services (RDS) и RDP, и выпустила повторное предупреждение, вновь призвав компании и рядовых пользователей обратить внимание на BlueKeep и срочно установить патчи.  Тем не менее, на настоящий момент еще около миллиона компьютеров уязвимы для этой атаки.

BlueKeep с самого момента его появления называют новым WannaCry. Как будто мир изголодался по новой вирусной эпидемии. При этом от WannaCry уязвимость отличает одно важное качество: ее нельзя выключить одним махом, как удалось с предшественником (или, по крайней мере, эксперты пока не поняли, как это сделать).

АКБ напоминает, что всего три недели миновали с обнародования экспертами этой уязвимости, и вот уже оказывается, что она повсюду. Киберпреступники из Tor постепенно начинают сканировать Сеть на наличие Windows-систем, уязвимых к BlueKeep (CVE-2019-0708). Специалисты платформы 0patch срочно выпускают патч, устраняющий BlueKeep для серверов, постоянно находящихся в рабочем состоянии, в виде 22 инструкций, которые призваны защитить серверы от попыток эксплуатации этой уязвимости.

Напомним, как было дело: Microsoft рассказала про дырку, затрагивающую службы удаленного рабочего стола (Remote Desktop Services), ранее известные как службы терминалов (Terminal Services), и сразу пропатчила уязвимость. На BlueKeep до этого не было реальных атак, и именно эксперты по кибербезопасности радостно раструбили о ней по всему интернету и написали рабочие эксплоиты, разве что персонально не разослали их хакерам. Проблема PoC, таким образом, стоит все острее.

Blue Keep затрагивает Windows Server 2003, Windows XP, Windows 7, Windows Server 2008, и Windows Server 2008 R2. Эксперты из OCD Tech нарисовали тепловую карту уязвимостей систем Бостона к Blue Keep, напоминающую радиус поражения ядерного удара. Всего в одном городе было зафиксировано 3875 уязвимых к Blue Keep систем.

Ряд продуктов Siemens Healthineers, дочерней компании Siemens, специализирующейся на производстве медицинского оборудования, содержат уязвимость BlueKeep, в том числе ПО для лучевой терапии Siemens Lantis , продукты для лабораторной диагностики (Atellica, Aptio, StreamLab, CentraLink, syngo, Viva, BCS XP, BN ProSpec и CS), а также оборудование для рентгенографии и мобильного рентгена (Axiom, Mobilett, Multix и Vertix).

Как отмечается, возможность эксплуатации бага зависит от конфигурации и среды развертывания решений. О том, можно ли через эксплуатацию уязвимости вызвать перебои в реальных медицинских устройствах(например, инсулиновых помпах или кардиостимуляторах), пока не сообщается. Siemens уже выпустила заплатки.

Подписываемся, следим @CyberAgency

Related Post

Китайские мыши-счастливчики взломали дата-центр Центральной Азии

Опубликовано - 15.06.2018 0
Хакерская группировка LuckyMouse, предположительно связанная с китайским правительством, успешно атаковала государственный центр обработки данных в одном из государств Центральной Азии.…

Авиаиндустрия потратила в 2018 году $3,9 млрд на кибербезопасность – это много или катастрофически мало?

Опубликовано - 29.11.2018 0
Все авиакомпании и аэропорты мира в 2018 году инвестировали в сферу кибербезопасности $3,9 млрд, сообщается в отчете SITA, швейцарской многонациональной…

Была проведена DDoS-атака на сайты парламентских выборов в Чехии

Опубликовано - 24.10.2017 0
Два веб-сайта Чешского статистического управления были переведены в автономный режим после проведения в выходные DDoS-атаки. Киберпреступники пытались проникнуть в базу…