WikiDer > BlueKeep

BlueKeep
Buni chalkashtirib yubormaslik kerak BlueBEEP.

BlueKeep
BlueKeep logo.svg
A zaifligi uchun yaratilgan logotip saqlamoq, a mustahkam minora ichida qurilgan qal'alar.
CVE identifikatori (lar) iCVE-2019-0708
Sana yamalgan14 may 2019 yil; 18 oy oldin (2019-05-14)[1]
KashfiyotchiBuyuk Britaniya Milliy kiber xavfsizlik markazi[2]
Ta'sir qilingan dasturiy ta'minotoldindanWindows 8 versiyalari Microsoft Windows

BlueKeep (CVE-2019-0708) a xavfsizlik zaifligi yilda topilgan Microsoft"s Masofadagi ish stoli protokoli (RDP) amalga oshirish, bu imkon beradi masofaviy kodni bajarish.

Birinchi marta 2019 yil may oyida xabar qilingan, Microsoft Windows-ning barcha Windows NT-ga asoslangan versiyalarida mavjud Windows 2000 orqali Windows Server 2008 R2 va Windows 7. Microsoft xavfsizlik patchini chiqardi (shu jumladan, Windows-ning ishlash muddati tugagan bir nechta versiyalari uchun tarmoqdan tashqari yangilanish) Windows XP) 2019 yil 14 mayda. 2019 yil 13 avgustda tegishli BlueKeep xavfsizlik zaifliklari, birgalikda nomlangan DejaBlue, ta'sir qilishi haqida xabar berilgan yangi Windows versiyalari, shu jumladan Windows 7 va so'nggi versiyalari Windows 10 operatsion tizim, shuningdek, Windows-ning eski versiyalari.[3] 2019 yil 6 sentyabrda, a Metasploit ekspluatatsiya chirigan BlueKeep xavfsizligining zaifligi jamoat maydoniga chiqarilishi e'lon qilindi.[4]

Tarix

BlueKeep xavfsizligining zaifligi birinchi bo'lib qayd etilgan Buyuk Britaniya Milliy kiber xavfsizlik markazi[2] va, 2019 yil 14-may kuni Microsoft. Zaiflik BlueKeep deb kompyuter xavfsizligi bo'yicha mutaxassis Kevin Bomont on tomonidan nomlangan Twitter. BlueKeep rasmiy ravishda quyidagicha kuzatiladi: CVE-2019-0708 va bu "chirigan" masofaviy kodni bajarish zaiflik.[5][6]

Ikkala AQSh Milliy xavfsizlik agentligi (2019 yil 4-iyun kuni ushbu zaiflik bo'yicha o'z maslahatini kim chiqargan)[7] va Microsoft ushbu zaiflikdan potentsial foydalanishi mumkinligini aytdi o'z-o'zini ko'paytiradigan qurtlar, Microsoft (xavfsizlik tadqiqotchisining taxminiga ko'ra, 1 millionga yaqin qurilmalar zaif ekanligini taxmin qilgan), bunday nazariy hujum o'xshash miqyosda bo'lishi mumkinligini aytdi. EternalBluekabi hujumlarga asoslangan NotPetya va WannaCry.[8][9][7]

NSA konsultatsiyasi bilan bir kunda, tadqiqotchilar CERT muvofiqlashtirish markazi alohida-alohida oshkor qildi RDPbilan bog'liq xavfsizlik muammosi Windows 10-ning 2019-yilgi yangilanishi va Windows Server 2019RDP bo'lgan yangi xatti-harakatga asoslanib Tarmoq darajasidagi autentifikatsiya (NLA) kirish ma'lumotlari mijoz tizimida keshlanadi va foydalanuvchi RDP ulanishiga avtomatik ravishda qayta ulanishi mumkin, agar ularning tarmoqqa ulanishi to'xtatilsa. Microsoft ushbu zaiflikni maqsadga muvofiq xatti-harakat sifatida rad etdi va uni o'chirib qo'yish mumkin Guruh siyosati.[10]

2019 yil 1 iyundan boshlab faol emas zararli dastur zaiflik haqida jamoatchilikka ma'lum bo'lib tuyuldi; ammo, oshkor etilmagan kontseptsiyaning isboti Zaiflikdan foydalanadigan (PoC) kodlar mavjud bo'lishi mumkin.[8][11][12][13] 2019 yil 1-iyul kuni, Sofos, ingliz xavfsizlik kompaniyasi, ushbu PoC-ning ishlaydigan namunasi haqida xabar berdi, bu zaiflikni yamoqlashning shoshilinch zarurligini ta'kidlash uchun.[14][15][16] 2019 yil 22-iyulda ekspluatatsiya haqida ko'proq tafsilotlar Xitoy xavfsizlik firmasining konferentsiya spikeri tomonidan aniqlandi.[17] 2019 yil 25-iyulda kompyuter mutaxassislari ekspluatatsiyaning tijorat versiyasi mavjud bo'lishi mumkinligi haqida xabar berishdi.[18][19] 2019 yil 31-iyulda kompyuter mutaxassislari zararli RDP faoliyatining sezilarli darajada ko'payganligi to'g'risida xabar berishdi va shu kabi zaifliklardan ekspluatatsiya qilish tarixiga asoslanib, yovvoyi tabiatda BlueKeep zaifligining faol ekspluatatsiyasi yaqinlashishi mumkinligi to'g'risida ogohlantirdilar.[20]

2019 yil 13-avgustda BlueKeep xavfsizligi bilan bog'liq bo'lib, ular birgalikda nomlangan DejaBlue, jumladan, Windows-ning yangi versiyalariga ta'sir qilishi haqida xabar berilgan Windows 7 va operatsion tizimning barcha so'nggi versiyalari Windows 10, shuningdek Windows-ning eski versiyalari.[3]

2019-yil 6-sentabrda, BlueKeep xavfsizligining dahshatli zaifligi ekspluatatsiyasi jamoat maydoniga chiqarilganligi e'lon qilindi.[4] Ushbu ekspluatatsiyaning dastlabki versiyasi, ammo ishonchsiz edi, chunki "o'limning ko'k ekrani"(BSOD) xatolar. Keyinchalik tuzatish e'lon qilindi va BSOD xatosining sababini olib tashladi.[21]

2019 yil 2-noyabrda ommaviy ravishda birinchi BlueKeep xakerlik kampaniyasi haqida xabar berildi va muvaffaqiyatsiz tugadi kripto o'g'irlash missiya.[22]

2019 yil 8-noyabrda Microsoft BlueKeep hujumini tasdiqladi va foydalanuvchilarni zudlik bilan Windows tizimlarini tuzatishga chaqirdi.[23]

Mexanizm

RDP protokoli kengaytmalarni taqdim etish uchun mijoz va server o'rtasida ma'lumotlar yo'li sifatida autentifikatsiyadan oldin tuzilgan "virtual kanallar" dan foydalanadi. RDP 5.1 32 ta "statik" virtual kanalni belgilaydi va "dinamik" virtual kanallar ushbu statik kanallardan birida joylashgan. Agar server "MS_T120" virtual kanalini (mijozning ulanishi uchun qonuniy sabab bo'lmagan kanalni) statik kanal bilan 31 dan boshqasiga bog'lab qo'ysa, to'plangan korruptsiya uchun imkon beradigan sodir bo'ladi kodni o'zboshimchalik bilan bajarish tizim darajasida.[24]

Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008va Windows Server 2008 R2 Microsoft tomonidan ushbu hujumga qarshi himoyalangan deb nomlangan. Kabi 7-dan yangi versiyalar, masalan Windows 8 va Windows 10, ta'sirlanmagan. The Kiberxavfsizlik va infratuzilma xavfsizligi agentligi da zaiflik orqali kod bajarilishiga muvaffaqiyatli erishganligini ta'kidladi Windows 2000.[25]

Yumshatish

Microsoft ushbu zaiflik uchun yamoqlarni 2019 yil 14 mayda chiqardi Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008va Windows Server 2008 R2. Bunga Windows-ning o'zlariga mos keladigan versiyalari kiritilgan umr tugashi (masalan, Vista, XP va Server 2003) va shuning uchun endi xavfsizlik yangilanishlari uchun yaroqsiz.[8] Yamoq yuqorida aytib o'tilgan "MS_T120" kanalini har doim 31 ga bog'lashga majbur qiladi, hatto RDP-server tomonidan boshqacha talab qilingan bo'lsa ham.[24]

NSA o'chirib qo'yish kabi qo'shimcha choralarni tavsiya qildi Masofadagi ish stoli xizmatlari va unga bog'liq port (TCP 3389) agar u ishlatilmasa va kerak bo'lsa Tarmoq darajasidagi autentifikatsiya RDP uchun (NLA).[26] Kompyuter xavfsizligi kompaniyasining ma'lumotlariga ko'ra Sofos, ikki faktorli autentifikatsiya RDP muammosini kamroq zaiflikka olib kelishi mumkin. Biroq, eng yaxshi himoya RDP-ni Internetdan uzishdir: agar kerak bo'lmasa RDPni o'chiring va agar kerak bo'lsa, RDP-ni faqat VPN.[27]

Shuningdek qarang

Adabiyotlar

  1. ^ Fuli, Meri Jo (2019-05-14). "Microsoft Windows XP, Server 2003-ni" yomon "nuqsonni bartaraf etish uchun yamaydi". ZDNet. Olingan 2019-06-07.
  2. ^ a b Microsoft (2019 yil may). "Xavfsizlikni yangilash bo'yicha qo'llanma - Rahmat, 2019 yil may". Microsoft. Olingan 2019-06-07.
  3. ^ a b Greenberg, Andy (2019-08-13). "DejaBlue: Yangi BlueKeep uslubidagi xatolar Windows qurtini xavfini yangilaydi". Simli. Olingan 2019-08-13.
  4. ^ a b Gudin, Dan (2019-09-06). "Yomon tabiatga chiqarilgan BlueKeep Windows xatosi uchun ekspluatatsiya - Metasploit moduli EternalBlue ekspluatatsiyasi singari jilolangan emas. Hali ham u kuchli". Ars Technica. Olingan 2019-09-06.
  5. ^ "CVE-2019-0708 uchun mijozlarga ko'rsatma - Masofadagi ish stoli xizmatlari uchun masofadan kodlarni bajarish zaifligi". Microsoft. 2019-05-14. Olingan 2019-05-29.
  6. ^ "CVE-2019-0708 Masofadan ish stoli xizmatlari Kodni masofadan ijro etishning zaifligi - Xavfsizlikning zaifligi". Microsoft. 2019-05-14. Olingan 2019-05-28.
  7. ^ a b Cimpanu, Katalin. "Hatto NSA ham Windows foydalanuvchilarini BlueKeep (CVE-2019-0708) ni yamoqlashga undaydi". ZDNet. Olingan 2019-06-20.
  8. ^ a b v Gudin, Dan (2019-05-31). "Microsoft Windows foydalanuvchilardan deyarli BlueKeep xatolarini tuzatishni iltimos qiladi". Ars Technica. Olingan 2019-05-31.
  9. ^ Uorren, Tom (2019-05-14). "Microsoft WannaCry-ga o'xshash Windows xavfsizlik ekspluatatsiyasi to'g'risida ogohlantiradi, XP-ning yamoqlarini chiqaradi". The Verge. Olingan 2019-06-20.
  10. ^ "Microsoft yangi Windows RDP" bug '"funksiyasini bekor qildi". Yalang'och xavfsizlik. 2019-06-06. Olingan 2019-06-20.
  11. ^ Whittaker, Zack (2019-05-31). "Microsoft foydalanuvchilarni" yomon "BlueKeep xatosi uchun ekspluatatsiya paydo bo'lishi bilan ularni tuzatish kerak" deb ogohlantiradi ". TechCrunch. Olingan 2019-05-31.
  12. ^ O'Nil, Patrik Xauell (2019-05-31). "Jiddiy nuqsonni tuzatish uchun hozirda eski Windows kompyuterlaringizni yamoqlashingiz kerak". Gizmodo. Olingan 2019-05-31.
  13. ^ Winder, Davey (2019-06-01). "Microsoft foydalanuvchilari" hozirda yangilanishi "haqida ogohlantirib, Windows foydalanuvchilari uchun ogohlantirish". Forbes. Olingan 2019-06-01.
  14. ^ Palmer, Denni (2019-07-02). "BlueKeep: Tadqiqotchilar haqiqatan ham Windows ekspluatatsiyasi qanchalik xavfli bo'lishi mumkinligini ko'rsatmoqdalar - Tadqiqotchilar Microsoft BlueKeep patchini teskari muhandislik qilishdan keyin kontseptsiyaning isbotlangan hujumini ishlab chiqdilar". ZDNet. Olingan 2019-07-02.
  15. ^ Stokli, Mark (2019-07-01). "RDP BlueKeep ekspluatatsiyasi sizni nima uchun chindan ham yamoq qilish kerakligini ko'rsatadi". NakedSecurity.com. Olingan 2019-07-01.
  16. ^ Xodimlar (2019-05-29). "CVE-2019-0708: Masofadagi ish stoli xizmatlarining kodlarni bajarilishidagi zaiflik (BlueKeep nomi bilan tanilgan) - Texnik qo'llab-quvvatlash byulleteni". Sofos. Olingan 2019-07-02.
  17. ^ Gudin, Dan (2019-07-22). "Internetda joylashtirilgan yangi tushuntirish vositasi bilan halokatli BlueKeep ekspluatatsiyasi ehtimoli ortmoqda - Slaydlar hozirgacha ko'rilgan eng batafsil texnik hujjatlarni taqdim etadi". Ars Technica. Olingan 2019-07-23.
  18. ^ Cimpanu, Katalin (2019-07-25). "Qurollangan BlueKeep ekspluatatsiyasini sotadigan AQSh kompaniyasi - Microsoft keyingi WannaCry-ni keltirib chiqarishi mumkin deb o'ylagan zaiflik uchun ekspluatatsiya endi savdo sifatida sotilmoqda". ZDNet. Olingan 2019-07-25.
  19. ^ Franceschi-Bicchieral, Lorenzo (2019-07-26). "Ajablanarlisi xavfli Windows" BlueKeep "zaifligi uchun kiberxavfsizlik firmasi kodini tashlaydi - AQSh hukumati pudratchisining immuniteti tadqiqotchilari BlueKeep nomi bilan tanilgan qo'rqinchli Windows xatosi uchun ishlaydigan ekspluatatsiya ishlab chiqdilar". Vitse-muovin. Olingan 2019-07-26.
  20. ^ Rudis, Bob (2019-07-31). "BlueKeep ekspluatatsiyasi kelishi mumkin: bizning kuzatishlarimiz va tavsiyalarimiz". Rapid7.com. Olingan 2019-08-01.
  21. ^ Cimpanu, Katalin (2019-11-11). "BlueKeep o'zining BSOD muammosini tuzatish uchun foydalanadi". ZDNet.
  22. ^ Greenberg, Andy (2019-11-02). "Birinchi BlueKeep ommaviy xakerligi nihoyasiga yetdi - lekin vahima qo'ymang - Bir necha oylik ogohlantirishlardan so'ng, Microsoft-ning BlueKeep zaifligidan foydalangan holda birinchi muvaffaqiyatli hujum amalga oshirildi, ammo u bo'lishi mumkin bo'lgan darajada yomon emas". Simli. Olingan 2019-11-03.
  23. ^ "Microsoft tadqiqotchilar bilan yangi RDP ekspluatatsiyasini aniqlash va himoya qilish uchun ishlaydi". Microsoft. 2019-11-07. Olingan 2019-11-09.
  24. ^ a b "RDP" Haqiqatan DO Patch! "Degan ma'noni anglatadi - WP-RDP zaifligini tushunish CVE-2019-0708". McAfee bloglari. 2019-05-21. Olingan 2019-06-19.
  25. ^ Tung, Liam. "Ichki xavfsizlik: Biz Windows BlueKeep hujumini sinab ko'rdik va u hozir shunday ishlaydi". ZDNet. Olingan 2019-06-20.
  26. ^ Cimpanu, Katalin. "Hatto NSA ham Windows foydalanuvchilarini BlueKeep (CVE-2019-0708) ni yamoqlashga undaydi". ZDNet. Olingan 2019-06-20.
  27. ^ Stokli, Mark (2019-07-17). "RDP fosh bo'ldi: bo'rilar allaqachon sizning eshigingizda". Sofos. Olingan 2019-07-17.

Tashqi havolalar