Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.05.2020

Cloud Native Universe

Jako patron medialny zapraszamy programistów wdrażających lub integrujących się z dowolną...
26.03.2020

Koniec certyfikatów...

MCSA, MCSD i MCSA
26.03.2020

Odświeżony OS

FortiOS 6.4
26.03.2020

Bezpieczeństwo w chmurze

Cisco SecureX
26.03.2020

Modernizacja IT

Nowości w VMware Tanzu
26.03.2020

Krytyczne zagrożenie dla...

Nowa groźna podatność
26.03.2020

Laptopy dla wymagających

Nowe ThinkPady T, X i L
26.03.2020

Serwerowe ARM-y

Ampere Altra
26.03.2020

Energooszczędny monitor

Philips 243B1

Tykająca bomba

Data publikacji: 20-12-2019 Autor: Maciej Olanicki
Komunikat z żądaniem okupu...

Minęło ponad pół roku, odkąd Microsoft ujawnił i załatał krytyczną podatność w mechanizmie uwierzytelniania dostępu do zdalnego pulpitu w starszych wersjach Windowsa. Eksploatacja BlueKeep mogła poskutkować globalną kampanią ransomware na miarę WannaCry, ale mimo wielu ostrzeżeń do żadnej katastrofy nie doszło.
Czy na pewno? I czy możemy już odetchnąć z ulgą, bo niebezpieczeństwo zostało zażegnane? Jaką rolę w tym procesie odgrywa koniec wsparcia dla Windowsa 7?

 

Aby odpowiedzieć na te pytania, musimy cofnąć się do marca 2017 roku. Wówczas, po wycieku informacji o podatności EternalBlue w protokole SMB z bazy amerykańskiej National Security Service, doszło do największej dotychczas globalnej kampanii ransomware. WannaCry sparaliżowało setki instytucji i organizacji w 150 krajach, narażając je na trudne do przeszacowania szkody: według specjalizującej się w modelowaniu cyberzagrożeń i analizie ryzyka firmy Cyence straty finansowe mogły sięgnąć nawet 4 mld dolarów. To właś­nie w kontekście EternalBlue i WannaCry należy umieścić analizę zagrożenia, jakie wciąż czyha na nas w związku z Blue­Keep. Podobieństwa są bowiem tak jaskrawe, że od porównań nie stronią nawet przedstawiciele Microsoftu. Zwłaszcza że zbliżone mogą być do siebie nie tylko mechanizmy dystrybucji złośliwego oprogramowania, ale także metody radzenia sobie z zagrożeniem.
 

CZYM JEST BLUEKEEP?

 

O BlueKeep (CVE-2019-0708) dowiedzieliśmy się w dniu publikacji łatek, 14 maja 2019 roku. Microsoft poinformował wówczas, że w usłudze zdalnego pulpitu (Remote Desktop Services znane wcześniej jako Terminal Services), a dokładniej w mechanizmie wstępnego uwierzytelniania połączenia, znajduje się krytyczna podatność, która może zostać wykorzystana do dystrybucji malware'u pomiędzy podatnymi maszynami. Sytuacja była o tyle poważna, że do infekcji nie było konieczne podejmowanie jakichkolwiek działań przez użytkownika. W odróżnieniu od form ataków inicjowanych przez phishing w przypadku BlueKeep wystarczyła uruchomiona usługa RDS nasłuchująca na porcie 3389. Wystarczy, że atakujący wyśle na niezałataną maszynę odpowiednio spreparowany pakiet z exploitem, by zainicjować na przykład kampanię ransomware. Podatne były systemy Windows 7, Windows Server 2008 R2 i Windows Server 2008, a wśród już niewspieranych Windows 2003 i Windows XP.


Już na tym etapie widać, że BlueKeep jest niemal bliźniaczo podobne do EternalBlue. Znów mamy bowiem do czynienia z podatnością protokołu wykorzystywanego przez jedną z systemowych usług – w przypadku WannaCry było to SMB. Znów nie jest potrzebna żadna akcja ze strony użytkownika, lecz sama osiągalność portu wykorzystywanego przez usługę. Znów model rozprzestrzeniania się może poskutkować wzajemnym infekowaniem się podatnych maszyn. Być może jednak najważniejsze podobieństwo tkwi w decyzji Microsoftu, aby łatki bezpieczeństwa udostępnić także na nieaktualizowanych już systemach operacyjnych. Przez BlueKeep Microsoft po raz drugi w historii załatał niewspieranego Windowsa XP, mimo że według danych NetMarketShare w maju korzystało z niego już niewiele ponad 2% internautów.

 

Z DUŻEJ CHMURY MAŁY DESZCZ?


W sieci szybko pojawiły się PoC exploita, a chwilę później same exploity podatności. Pod koniec lipca oprogramowanie umożliwiające eksploatację BlueKeep trafiło do jednego z pakietów narzędzi penteterskich. Co ciekawe, wcześniej zidentyfikowano szeroko zakrojoną kampanię, w ramach której osoba ukryta za węzłem sieci Tor skanowała internet w poszukiwaniu niezabezpieczonego portu 3389. Mimo to użytkownicy starszych wersji Windowsa niechętnie instalowali opublikowane w drodze wyjątku przez Microsoft łatki – według badań przeprowadzonych za pomocą skanera Shodan przez SANS Institute odsetek podatnych adresów IP zmalał od maja nieznacznie i wciąż utrzymuje się na poziomie około 10%.


A mimo to do katastrofy ransomware nie doszło. Nie oznacza to jednak, że nikt nie próbował wykorzystać Blue­Keep. Przeciwnie, ataki trwają bezustannie, o czym świadczy m.in. aktywność na specjalnych pułapkach zastawionych przez Kevina Beaumonta. Od miesięcy utrzymuje on izolowane w usłudze Azure Senitnel honeypoty i w październiku odnotował dużą falę ataków, która w zasadzie bez przerw trwa do dzisiaj. Co ciekawe, nie są to infekcje ransom­ware, lecz próby instalacji koparek kryptowalut. Atakujący wyciągnęli lekcje po WannaCry – zamiast paraliżować ogromne organizacje, lepiej działać dyskretnie i zarabiać na spenetrowanej infrastrukturze bez zbędnego zwracania na siebie uwagi. Według listopadowego raportu Microsoftu taki scenariusz realizowany jest z sukcesami na terenie Francji, Rosji czy Włoch.

 

[...]

 

 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"