Плохие новости про BlueKeep: если вы помните, в начале лета специалисты сразу нескольких ИБ-компаний (включая Zerodium, McAfee, Check Point и «Лабораторию Касперского»), а также независимые исследователи создали proof of concept эксплоиты для уязвимости, перед которой по-прежнему уязвимы порядка 800 тысяч устройств .
Код этих эксплоитов не был опубликован в открытом доступе из-за слишком высокого риска. Однако теперь создать такой эксплоит стало гораздо легче. На GitHub была опубликована презентация, детально описывающая использование уязвимости и создание эксплоита.
Слайды этой презентации почти полностью написаны на китайском языке, на них можно увидеть упоминания ИБ-конференции 2019 Security Development Conference и название известной китайской компании Tencent KeenLab . Два слайда также содержат слово «демо».
Журналисты издания ArsTechnica поинтересовались мнением ИБ-специалистов о презентации, в частности, пообщавшись с независимым экспертом Маркусом Хатчинсом ( он что, еще не в тюрьме? ).
По мнению Хатчинса и других экспертов, такая публикация детальной презентации заметно снижает планку для создания RCE-эксплоитов для BlueKeep. На слайдах подробно показано, как реализовать heap spraying, то есть презентация описывает решение одной из наиболее трудных задач при создании эксплоита и представляет собой наиболее детальный технический разбор уязвимости, доступный на данный момент. Он говорит, что специалисты Tencent KeenLab, очевидно, создали и продемонстрировали на конференции RCE-эксплоит для BlueKeep, хотя сам PoC опубликован не был.
АКБ напоминает: через два месяца после обнаружения Blue Keep, более 800 000 систем все ещё уязвимы для атак, в которых эксплуатируется эта брешь, за 60 дней всеобщей тревоги количество защищенных машин увеличилось лишь на 25%. Наиболее уязвимой является телекоммуникационная отрасль. Далее идёт образовательная и технологическая сферы. Наибольшее количество уязвимых систем находится в Китае, за ним идёт США.
Хотя реальных атак с помощью BlueKeep до сих пор не зафиксировано, уязвимость слишком обширна, чтобы ее игнорировать. АКБ напоминает: ранее стало известно, что из 10 тысяч американских аппаратов для голосования бОльшая часть (без указания точного процента) работает под управлением Windows 7. А значит, уязвима для того же BlueKeep. Лучший комментарий по данному вопросу одного ответственного лица, «Is this a bad joke?».
Еще летом киберпреступники из Tor постепенно начали сканировать Сеть на наличие Windows-систем, уязвимых к BlueKeep. Blue Keep затрагивает Windows Server 2003, Windows XP, Windows 7, Windows Server 2008, и Windows Server 2008 R2. Эксперты из OCD Tech нарисовали тепловую карту уязвимостей систем Бостона к Blue Keep, напоминающую радиус поражения ядерного удара. Всего в одном городе было зафиксировано 3875 уязвимых к Blue Keep систем.
Ряд продуктов Siemens Healthineers, дочерней компании Siemens, специализирующейся на производстве медицинского оборудования, содержат уязвимость BlueKeep, в том числе ПО для лучевой терапии Siemens Lantis , продукты для лабораторной диагностики (Atellica, Aptio, StreamLab, CentraLink, syngo, Viva, BCS XP, BN ProSpec и CS), а также оборудование для рентгенографии и мобильного рентгена (Axiom, Mobilett, Multix и Vertix).
Как отмечается, возможность эксплуатации бага зависит от конфигурации и среды развертывания решений. О том, можно ли через эксплуатацию уязвимости вызвать перебои в реальных медицинских устройствах (например, инсулиновых помпах или кардиостимуляторах), пока не сообщается. Siemens уже выпустила заплатки.
