• Piotr Prątnicki, autor |

Od czasu opublikowania przez Microsoft aktualizacji bezpieczeństwa, zabezpieczających systemy Windows przed podatnością BlueKeep, minęły już przeszło trzy tygodnie (publikacja miała miejsce 14 maja br.). Szacuje się, że w dalszym ciągu nawet 900 tysięcy urządzeń dostępnych w Internecie, nie zostało zaktualizowanych i wciąż pozostaje podatnych na przejęcie kontroli przez nieautoryzowane osoby. Całkowita liczba podatnych urządzeń, wliczając w to również systemy w sieciach wewnętrznych, jest nieporównywalnie większa i sięgać może nawet wielu milionów.

Podatność BlueKeep, oznaczona identyfikatorem CVE-2019-0708, została zidentyfikowana w usługach zdalnych (Remote Desktop Services/Terminal Services) pracujących na systemach Windows 7, Windows Server 2008, Windows Server 2008 R2, a także starszych, obecnie już niewspieranych, systemach Windows XP, Windows Vista, Windows Server 2003 oraz Windows Server 2003 R2. Wszystkie powyższe systemy bez odpowiedniej aktualizacji są podatne zarówno w wersjach 32 jak i 64 bitowych. BlueKeep w otwartej metryce CVSSv3, wykorzystywanej do wyliczenia poziomu ryzyka podatności, została sklasyfikowana, jako krytyczna, z wynikiem punktowym 9,8/10.

Od momentu publikacji pierwszych informacji na temat podatności, wiele osób dostrzegło słuszne podobieństwo do zidentyfikowanej nieco ponad dwa lata wcześniej podatności EternalBlue, która to wykorzystywała słabość innych usług zdalnych, dostępnych w systemach Microsoft Windows, wykorzystujących implementację Microsoftu protokołu SMB (Server Message Block). Podatność EternalBlue wspomniane dwa lata temu doprowadziła do licznych, przeprowadzonych na szeroką skalę, ataków ransomware. Były to m.in. WannaCry, NotPetya oraz BadRabbit, o których wiadomości obiegły cały świat. Wspomniane ataki nastąpiły w pewnym odstępie czasu od pierwszych doniesień o podatności, który pozwolił na przygotowanie złośliwego oprogramowania będącego w stanie zrealizować ataki. Podobnie jak w przypadku EternalBlue, tak i tym razem istnieje ryzyko, że podatność BlueKeep zostanie wykorzystana w analogiczny sposób i przysporzy wielu problemów licznym firmom na całym świecie, infekując stacje robocze i serwery pracujące pod kontrolą starszych wersji systemów Windows.

Obecnie nie ma potwierdzonych dowodów na istnienie złośliwego oprogramowania wykorzystującego najnowszą podatność, mimo to, na wszystkich urządzeniach pracujących pod kontrolą dotkniętych systemów operacyjnych, zalecana jest jak najszybsza instalacja wskazanych aktualizacji lub, jeżeli to możliwe, wyłączenie usług protokołu połączeń zdalnych (Remote Desktop Services/Terminal Services), w celu zabezpieczenia systemów Windows przed nieautoryzowanym dostępem i atakami. Dodatkowo wykorzystanie podatności może zostać utrudnione w przypadku wymuszenia uwierzytelnienia na poziomie sieci (Network Level Authentication).

Z uwagi na popularność usług zdalnych bazujących na podatnym protokole RDP oraz duże ryzyko związane z tą podatnością, Microsoft postanowił udostępnić też stosowną łatkę systemom, które oficjalnie nie są już wspierane i nie dostają poprawek bezpieczeństwa – Windows XP, Windows Vista a także Windows Server 2003 i Windows Server 2003 R2.
Systemy Windows 8, Windows 10 oraz Windows Server 2012 i nowsze nie są podatne na opisywaną podatność i aktualizacja w ich przypadku nie jest wymagana.

Źródła:

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://nvd.nist.gov/vuln/detail/CVE-2019-0708