Opasnost u najavi - javno dostupan exploit za BlueKeep (RCE) ranjivost

Metasploit modul možda nije na nivou EternalBlue exploita, ali je i dalje prilično moćan!

Opasnost u najavi - javno dostupan exploit za BlueKeep (RCE) ranjivost

Mesecima unazad postoji bojazan da će kod za eksploatisanje BlueKeep ranjivosti biti javno objavljen, a nedavno se to i desilo. Modul je izbacio Metasploit, open-source alat koji koriste i “dobri” i “loši” hakeri. BlueKeep je kritična ranjivost koja pogađa starije Windows verzije. U slučaju uspešnog napada, malver može da se poput crva raširi sa računara na računar.

Napadački modul je objavljen na Githubu. Trenutno nije na nivou EternalBlue modula koji je razvio NSA i koji je ranije korišćen u WannaCry napadima. Recimo, za uspešan napad potrebno je precizirati verziju Windowsa koji se napada, a da bi modul funkcionisao, moraju se promeniti određena default podešavanja. Za razliku od toga, EternalBlue je funkcionisao za veliki broj Windows verzija sa default podešavanjima i bio je ključna komponenta u velikom WannaCry ransomware napadu koji je zaključao stotine hiljada računara širom sveta, a kasnije i u velikom NotPetya napadu.

Najnovija ranjivost CVE-2019-0708 je poznata pod imenom BlueKeep i postoji u starijim verzijama RDS-a (Remote Desktop Services), u Windows 2003, XP, Vista 7, Server 2008 R2 i Server 2008. Microsoft je izbacio patch u maju i upozorio da postoji mogućnost novih velikih napada na uređaje koji ga ne primene u slučaju da se pojavi exploit kod. BlueKeep je podložan sličnim napadima kao i EternalBlue. Preciznije, dovoljno je da jedan računar bude zaražen i malver se može proširiti na sve uređaje u mreži, bez interakcije korisnika. Koliko je veliki rizik od novih napada govori činjenica da je Microsoft mesec dana nakon što je objavio patch ponovo apelovao na korisnike da ga instaliraju.

Opasna pretnja

Kao što smo u uvodu napomenuli, Metasploit modul nije na nivou EternalBlue exploita, ali je i dalje prilično efektan. To je za stručnjake za sajber bezbednost kojima je posao zaštita sistema od hakovanja i dobra i loša vest. Novi exploit je dostupan svima, tako da će ga, pored profesionalaca za sajber bezbednost, sasvim sigurno koristiti i sajber kriminalci za kreiranje nekih budućih sajber napada. U svakom slučaju, pojava ovakve pretnje jasno naglašava važnost redovnog ažuriranja i primene dostupnih patch-ova.

Dovoljan je jedan uređaj...

Ključna opasnost ove ranjivosti je što napadač može da pridobije kredencijale koji se koriste za povezivanje sa drugim računarima. To znači da je dovoljno inficirati jedan ranjivi uređaj kako bi se dalje inficirali i ostali računari u mrežu, čak i kad su uredno ažurirani.

Izvor: Ars Technica