DejaBlue: Nové chyby v štýle BlueKeep znamenajú, že teraz musíte aktualizovať systém Windows


Po celé mesiace správcovia bojujú o opravu svojich systémov Windows proti BlueKeep, čo je kritická zraniteľnosť v protokole vzdialenej pracovnej plochy spoločnosti Microsoft, ktorý by mohol umožniť červa, ktorý by mohol žuť internet, ak by nebol opravený stovkami tisíc zraniteľných počítačov. Ten červ ešte musí prísť. Teraz však spoločnosť Microsoft resetovala hodiny v tomto závode a odhalila kolekciu nových zraniteľností RDP, z ktorých dve by mohli mať za následok rovnaký druh globálneho červa – a tentoraz v novších verziách systému Windows.

Spoločnosť Microsoft dnes varovala používateľov systému Windows pred siedmimi novými zraniteľnými miestami v systéme Windows, ktoré, podobne ako BlueKeep, môžu využívať aj RDP, nástroj, ktorý umožňuje správcom pripojenie sa k iným počítačom v sieti. Z týchto siedmich chýb poradca spoločnosti Microsoft zdôraznil, že dve z nich sú obzvlášť závažné; ako BlueKeep, mohli by byť použité na kódovanie automatizovaného červa, ktorý skáče zo stroja na stroj a potenciálne infikuje milióny počítačov. Ako hovorí riaditeľ bezpečnostného strediska spoločnosti Microsoft pre reakciu na incidenty Simon Pope, „akýkoľvek budúci malware, ktorý ich zneužije, by sa mohol šíriť z zraniteľného počítača na zraniteľný počítač bez zásahu používateľa.“

"Začína to znova odznova."

Rob Graham, Errata Security

Na rozdiel od BlueKeep však nové chyby – napokon vtipne pomenované DejaBlue výskumníkmi v oblasti bezpečnosti, ktoré ich sledujú – neovplyvňujú iba Windows 7 a staršie, ako to urobila staršia zraniteľnosť RDP. Namiesto toho ovplyvňuje systém Windows 7 a novšie verzie vrátane všetkých najnovších verzií operačného systému.

Marcus Hutchins, výskumný pracovník v oblasti bezpečnosti, ktorý pozorne sledoval zraniteľné miesta RDP a kódoval nástroj na overenie koncepcie zneužívania BlueKeep, hovorí, že na DejaBlue môže byť oveľa viac počítačov ako na BlueKeep. V tomto okamihu sa musí opraviť takmer každý súčasný počítač so systémom Windows, aby hackeri mohli opraviť stopy, ktoré by mohli pomôcť pri zneužívaní.

„Ľudia, ktorí neabsolvovali už navždy, by z toho mohli byť o niečo bezpečnejší, ale predstavujem si oveľa väčšiu skupinu počítačov, myslím si,“ hovorí Hutchins. „Samozrejme, ak beriete do úvahy aj BlueKeep, problém sa tým len prehĺbi.“

Na rozdiel od BlueKeep, ktorého objav Microsoft pripísal britskej spravodajskej agentúre GCHQ, Microsoft hovorí, že tieto nové chyby sám našiel a opravil. „Tieto chyby zabezpečenia boli objavené spoločnosťou Microsoft počas tvrdenia služieb Remote Desktop Services ako súčasť nášho neustáleho zamerania na posilnenie bezpečnosti našich produktov,“ hovorí Microsoft. „V súčasnosti nemáme žiadne dôkazy o tom, že by tieto zraniteľné miesta boli známe tretej strane.“ Spoločnosť Microsoft neodpovedala okamžite na žiadosť o komentár.

Odkedy bolo BlueKeep 14. mája verejne oznámené, bezpečnostný priemysel prinútil používateľov opraviť zmiešané výsledky: Od minulého mesiaca zostalo zraniteľným voči BlueKeep 7 000 000 až 800 000 počítačov. Rob Graham, výskumný pracovník v oblasti bezpečnosti a zakladateľ spoločnosti Errata Security, postavil v máji skener, ktorý meral počet počítačov zraniteľných voči BlueKeep a spočiatku našiel takmer milión zraniteľných počítačov. Teraz odhaduje, že počet strojov zraniteľných voči novým chybám RDP je pravdepodobne v rovnakom parku. „Začíname to znova,“ hovorí Graham.

Graham však poukazuje na to, že nastavenie s názvom Overovanie na úrovni siete na počítačoch so systémom Windows blokuje využitie novej sady chýb. Vo svojich predchádzajúcich skenoch našiel celkom 1,2 milióna počítačov so systémom Windows, ktoré mali toto nastavenie povolené. Nie je však jasné, ktoré verzie systému Windows tieto počítače používajú alebo koľko ďalších počítačov nemá zapnutú službu NLA.

Dobrou správou je, že systém Windows štandardne ponúka automatické aktualizácie; osoby s povolenou touto funkciou by mali byť čoskoro pokryté, ak už nie. Každý, kto to vypol, by mal teraz zapnúť NLA a stiahnuť si opravu proti novým chybám RDP tu.

Keď sa BlueKeep prvýkrát objavil, výskumníci v oblasti bezpečnosti a dokonca aj samotný Microsoft varovali, že by sa mohol integrovať do rozšíreného červa behom niekoľkých týždňov, čo by mohlo byť také vážne ako WannaCry alebo NotPetya, keďže škodliví hackeri sa pohybovali rýchlejšie ako obrovské množstvo zraniteľných používateľov, ktorí potrebovali opraviť , Odvtedy uplynuli tri mesiace, keď na dohľad nie sú červi, hoci kradmejší hackeri už môžu hackovať program RDP tajne a cielene. Niektorí vedci tvrdia, že absencia očakávaného červa je spôsobená zdržanlivosťou zo strany výskumnej komunity v oblasti bezpečnosti, ktorá sa vo veľkej miere zdržala zverejňovania hackerských nástrojov zameraných na koncepty, ktoré využívajú BlueKeep. Tiež sa zverejnilo niekoľko detailov o tom, ako presne BlueKeep funguje, a vytvorenie spoľahlivého narušenia na jeho základe sa zdá byť prekvapivo ťažké.

Využívanie DejaBlue môže byť o niečo jednoduchšie ako BlueKeep, hovorí Hutchins, ktorý tvrdí, že kódovanie zneužitia BlueKeep ho trvalo takmer týždeň práce na plný úväzok. Tvrdou časťou je, že manipuloval s pamäťou počítača, takže chyba RDP umožňuje hackerovi spustiť vlastný kód namiesto zlyhania počítača. Keď DejaBlue havaruje počítač, hovorí Hutchins, iba havaruje službu RDP na cieľovom zariadení, a nie na celom počítači, čo umožňuje hackerovi s nespoľahlivým zneužitím, aby ho používal tajnejšie. "Bluekeep vyžadoval nejaký druh špecializovaných znalostí," hovorí Hutchins. "Vyzerá to, že by mohla mať väčšia skupina ľudí schopná napísať zneužitie."

DejaBlue by mohol byť opravený rýchlejšie ako BlueKeep, poznamenáva Hutchins, pretože používatelia s novšími verziami Windows majú tiež tendenciu spoľahlivejšie opravovať. Hutchins tiež hovorí, že potom, čo predpovedal príchod červa BlueKeep ešte dnes, sa chystá zastaviť ďalšie špekulácie. „Je celkom možné, že červ bude pravdepodobne pravdepodobnejší, ale my nedokážeme skutočne predpovedať, čo budú ľudia robiť,“ hovorí Hutchins. "Zlí chlapci urobia to, čo zlí chlapci urobia."


Viac skvelých WIRED príbehov