DejaBlue: Az új BlueKeep-stílusú hibák azt jelentik, hogy frissítenie kell a Windows most


Hónapokig, rendszerek az adminisztrátorok versenyeztek a Windows rendszereik javításával a BlueKeep ellen, amely a Microsoft Távoli asztali protokolljának kritikus sebezhetősége, amely globális, internetet rágó féreget tesz lehetővé, ha nem rögzítik százezrek sebezhető sebezhető számítógépén. Az a féreg még nem érkezett meg. Most azonban a Microsoft alaphelyzetbe állította az órát ebben a versenyben, felfedve új RDP sebezhetőségek gyűjteményét, amelyek közül kettő hasonló globális férget eredményezhet – és ezúttal a Windows újabb verzióiban is.

A Microsoft ma figyelmeztette a Windows felhasználókat a Windows hét új sebezhetőségéről, amelyeket – hasonlóan a BlueKeep-hez – RDP-en keresztül ki lehet használni, amely eszköz lehetővé teszi az adminisztrátorok számára a hálózat többi számítógépéhez való csatlakozást. A hét hiba közül a Microsoft tanácsadója hangsúlyozta, hogy kettő különösen súlyos; hasonlóan a BlueKeep-hez, felhasználhatók egy automatizált féreg kódolására is, amely gépről a másikra ugrik, potenciálisan több millió számítógépet megfertőzve. Amint Simon Pope írja a Microsoft Biztonsági Reakcióközpont eseményekre reagáló igazgatóját, "minden olyan rosszindulatú program, amely ezeket kihasználja, kiszolgáltatott számítógépről terjedhet a kiszolgáltatott számítógépre felhasználói beavatkozás nélkül".

"Újra kezdődik."

Rob Graham, Errata biztonság

A BlueKeep-szel ellentétben azonban az új hibák – melyeket a biztonsági kutatók félig viccesen DejaBlue-nek neveztek – nem csak a Windows 7-et és a korábbi rendszert érintik, ahogyan a korábbi RDP-biztonsági rések is tették. Ehelyett a Windows 7-et és az azt meghaladó verziót érinti, beleértve az operációs rendszer összes legújabb verzióját.

Marcus Hutchins, a biztonsági kutató, aki szorosan figyelemmel kísérte az RDP sebezhetőségét és a BlueKeep kiaknázására szolgáló koncepció-bizonyító eszközt kódolt, azt mondja, hogy sokkal inkább érzékenyek lehetnek a DejaBlue, mint a BlueKeep gépekre. Ezen a ponton szinte minden kortárs Windows számítógépet javítania kell, mielőtt a hackerek visszafordíthatják azokat a javításokat, amelyek javíthatják a nyomokat, és amelyek elősegíthetik a kihasználásokat.

"Azok az emberek, akik örökké nem frissültek, kicsit biztonságosabbak lehetnek ettől, de azt hiszem, hogy van egy sokkal nagyobb kiszolgáltatott számítógép-készlet" – mondja Hutchins. "Természetesen, ha figyelembe veszi a BlueKeep-et is, akkor ez csak felerősíti a problémát."

A BlueKeep-mel ellentétben, amelynek felfedezését a Microsoft jóváhagyta a brit hírszerző ügynökségnek, a GCHQ-nak, a Microsoft azt állítja, hogy ezeket az új hibákat maga találta meg és javította. "Ezeket a sebezhetőségeket a Microsoft fedezte fel a Remote Desktop Services megszilárdítása során, a termékek biztonságának megerősítésére irányuló folyamatos összpontosításunk részeként" – mondja a Microsoft. "Jelenleg nincs bizonyíték arra, hogy ezeket a sebezhetőségeket harmadik felek ismerték volna." A Microsoft nem válaszolt azonnal a megjegyzéskérelemre.

A BlueKeep május 14-i nyilvános bejelentése óta a biztonsági ipar arra késztette a felhasználókat, hogy vegyes eredményekkel javítson: A múlt hónap számlálása óta 730 000 – 800 000 számítógép továbbra is sebezhető a BlueKeep ellen. Rob Graham, a biztonsági kutató és az Errata Security alapítója májusban egy szkennert épített a BlueKeep-re érzékeny gépek számának mérésére, és kezdetben közel egymillió veszélyeztetett gépet talált. Most becslése szerint valószínűleg ugyanabban a gördülőparkban található az új RDP hibákkal szemben érzékeny gépek száma. "Újra kezdődik" – mondja Graham.

Graham rámutat arra, hogy a Windows gépeken hálózati szintű hitelesítésnek nevezett beállítás megakadályozza az új hibakészlet kihasználását. Korábbi vizsgálata során összesen 1,2 millió Windows számítógépet talált, amelyeknél ez a beállítás engedélyezve volt. De nem világos, hogy a Windows melyik verzióin futnak a számítógépek, vagy hány más gépen nincs bekapcsolva az NLA.

A jó hír az, hogy a Windows alapértelmezés szerint automatikus frissítéseket kínál; azokat, akiknél ez a szolgáltatás engedélyezve van, hamarosan fedezni kell, ha még nem. Bárki, aki ezt kikapcsolta, most kapcsolja be az NLA-t, és töltsön le itt egy javítást az új RDP-hibák ellen.

A BlueKeep első megjelenésekor a biztonsági kutatók és még a Microsoft is figyelmeztettek arra, hogy néhány heten belül integrálható egy elterjedt féregbe, amely akár annyira súlyos is lehet, mint a WannaCry vagy a NotPetya, mivel a rosszindulatú hackerek gyorsabban mozogtak, mint a kiszolgáltatott felhasználók nagy száma, akiknek javításra szorultak. . Három hónap telt el azóta, hogy nem volt féreg a látásban, bár a lopakodóbb hackerek már titkos, célzott támadásokkal támadhatják az RDP-t. Egyes kutatók szerint a várható féreg hiánya a biztonsági kutatóközösség visszafogottságának köszönhető, amely nagymértékben tartózkodott attól, hogy nyilvánosságra hozza a BlueKeep-et kiaknázó koncepció-bizonyító hackereszközöket. Ezenkívül néhány részlet nyilvánosságra került arról, hogy pontosan hogyan működik a BlueKeep, és meglepően nehéznek tűnik egy megbízható behatolás építése az alapján.

A DejaBlue kihasználása némileg könnyebb lehet, mint a BlueKeep – mondta Hutchins, aki szerint a BlueKeep kizsákmányolása egy hetes teljes munkaidős munkához vezetett. A kemény rész, mondja, a számítógép memóriájával manipulálta, hogy az RDP-hiba lehetővé tegye a hackerek számára a saját kód futtatását a számítógép összeomlása helyett. Amikor a DejaBlue összeomlik egy számítógéppel, mondja Hutchins, ez csak az RDP szolgáltatást a cél eszközön, nem pedig az egész gépen, és összeomlik, lehetővé téve egy megbízhatatlan kihasználású hackerek számára, hogy szigorúbban használják. „A Bluekeep valamilyen speciális ismeretet igényelt” – mondja Hutchins. "Úgy tűnik, hogy egy nagyobb embercsoport lehet, aki képes arra, hogy kizsákmányolást írjon."

Lehetséges, hogy a DejaBlue gyorsabban javításra kerül, mint a BlueKeep volt – jegyzi meg Hutchins, mivel a Windows újabb verziójával rendelkező felhasználók is hajlamosabbak a javításra. Hutchins azt is mondja, hogy miután jóval a mai napig megjósolta a BlueKeep féreg érkezését, folytatni fogja a további spekulációkat. "Valószínűleg egy féreg valószínűbb, de valójában nem tudjuk megjósolni, hogy mit fognak tenni az emberek" – mondja Hutchins. "A rossz fiúk meg fogják tenni azt, amit a rossz fiúk fognak tenni."


További nagy vezetékes történetek