W zeszłym miesiącu pisaliśmy, że Windows XP otrzymał ważną poprawkę - 5 lat po końcu wsparcia. Odkryta w nim podatność występuje też w Windows 7, Server 2003 i Server 2008. BlueKeep, bo taka jest jej nazwa, to podatność zero-day, którą okrzyknięto nowym WannaCry. Większość użytkowników już załatała swoje systemy, ale spora grupa (według ostatnich szacunków ponad milionowa) nadal tego nie zrobiła.
Do zainstalowania łatki wzywali już Microsoft i eksperci od zabezpieczeń. Teraz przyłącza się do nich National Security Agency (NSA), która w jej sprawie opublikowała poradę:
National Security Agency namawia administratorów i użytkowników Microsoft Windows, by w obliczu rosnących zagrożeń upewnili się, że używają załatanego i zaktualizowanego systemu. Niedawne ostrzeżenia Microsoftu podkreśliły znaczenie instalowania łatek dotyczących podatności protokołu w starszych wersjach Windows. Microsoft ostrzegał, że podatność jest potencjalnie "robakowalna" [wormable], co oznacza, ze może się rozprzestrzeniać bez interakcji użytkownika po całym Internecie. Widzieliśmy już niszczycielskie robaki komputerowe wyrządzające szkody na niezałatanych systemach na szeroką skalę i staramy się zmotywować do zwiększenia ochrony przeciw tej podatności.
CVE-2019-0708, znana też jako "BlueKeep", to podatność w protokole Remote Desktop (RDP). Jest obecna w Windows 7, Windows XP, Server 2003 i 2008. I chociaż Microsoft wypuścił łatkę, potencjalnie miliony urządzeń nadal są podatne.
Jest to typ podatności, którą złośliwi, cyfrowi aktorzy regularnie exploitują za pomocą kodu oprogramowania, który celuje w tą konkretną podatność. Przykładowo podatność może być zaatakowana, by przeprowadzić ataki denial of service [DoS]. Jest tylko kwestią czasu, zanim zdalny kod exploita stanie się ogólnodostępny dla tej podatności. NSA wyraża zaniepokojenie, że złośliwi, cyfrowi aktorzy będą używać tej podatności w ransomware i zestawach zawierających inne znane exploity, zwiększając możliwości przeciw innym niezałatanym systemom.
NSA namawia wszystkich, by poświęcili czas i zasoby, aby dowiedzieć się, czy ich sieć i uruchamiane systemy operacyjne są wspierane przez ostatnie łatki. Prosimy, kierujcie się do naszego poradnika, aby uzyskać więcej informacji. Ma to znaczenie krytyczne nie tylko dla ochrony National Security Systems przez NSA, ale dla wszystkich sieci.
NSA zaleca również dodatkowe środki ostrożności, jak blokada portu 3389 na firewallu, włączenie uwierzytelnianie na poziomie sieci i wyłączenie usług pulpitu zdalnego, jeśli nie są wymagane. Dostawcy pakietów chroniących, tacy jak Zerodium, McAfee, Kaspersky, Check Point, MalwareTech i Valthek, opracowali Proof of Concept exploitów na BlueKeep, ale ich nie udostępniają. Bardzo możliwe, że exploity pojawią się na czarnym rynku nawet w tym miesiącu.
