Podatność BlueKeep przywraca wspomnienia o WannaCry

BlueKeep dotyczy starszych systemów operacyjnych: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows XP i Windows Server 2003. Nowsze wersję nie są narażone.

Windows 7 oraz Windows Server 2008 R2 są nadal szeroko używane, szczególnie w środowiskach przemysłowych oraz OT (Operational Technology) – podmioty infrastruktury krytycznej i producenci powinni szczególnie zwracać uwagę na ostrzeżenia dotyczące ryzyka wystąpienia tej luki.

Podatność BlueKeep może umożliwić nieuwierzytelnionemu zdalnemu użytkownikowi (atakującemu) połączenie się z serwerem Windows za pomocą protokołu pulpitu zdalnego (RDP) i wykonanie dowolnego kodu na zdalnym serwerze – bez interakcji z użytkownikiem.

Luka ta jest oznaczona również jako „wormable”, czyli jest podatna na dodatkowe ataki. Podatność BlueKeep może zostać wykorzystana przez atakującego po to by uzyskać dostęp do sieci organizacyjnej, co będzie pierwszym krokiem podczas ataku, a także do szybkiego przemieszczania się w sieci ofiary. W kolejnych krokach atakujący może uruchomić innego typu złośliwe oprogramowanie lub uzyskać dostęp do newralgicznych danych przedsiębiorstwa.

Od informacji przekazanej przez Microsoft o wykryciu luki zostało opublikowanych wiele „exploitów PoC”. Nawet bot na twitterze śledzi każdego z nich, jednak do tej pory nie zgłoszono ani rozproszonych ani ukierunkowanych ataków przy wykorzystaniu luki BlueKeep.

Jeżeli jednak są już dostępne exploity w trybie PoC, komercyjne – opłacane exploity mogą czaić się tuż za rogiem. W takim wypadku powszechne ataki przy wykorzystaniu luki BlueKeep są coraz bardziej prawdopodobne, co więcej zbliżają się wielkimi krokami.

Ze względu na podobieństwo do luk w zabezpieczeniach wykorzystywanych w ataku ransomware WannaCry, organizacje powinny być bardzo zaniepokojone podatnością BlueKeep. Prawdopodobnie to ona skłoniła firmę Microsoft do wydania poprawek dla wersji systemów, których nie obejmuje już wsparcie. Ostatni raz zrobili to, ponieważ luki w zabezpieczeniach serwera (SMB) zostały użyte w ataku WannaCry. (Globalna epidemia ransomware miała miejsce dokładnie dwa lata temu 12 maja 2017 roku. Dla organizacji, które nie nauczyły się za pierwszym razem, BlueKeep może wkrótce pokazać, w jakim stopniu odrobili lekcje pod kątem dobrej ochrony przed cyberatakami).

Skybox może pomóc, identyfikując platformy, które mają lukę BlueKeep za pośrednictwem systemu zarządzania poprawkami (SCCM) Microsoft System Center Configuration Manager (lub równoważnego systemu zarządzania poprawkami), nawet bez wykorzystania aktywnego skanera podatności.

Aby określić ekspozycję zasobów, funkcja Access Analyzer w Skybox Network Assurance może przetestować, czy porty RDP są dostępne z Internetu. Logika analityczna Skybox uwzględnia również rozwiązania podnoszące stopień bezpieczeństwa, takie jak zapory sieciowe i systemy IPS, aby określić, które urządzenia są narażone, a które z nich są chronione przed potencjalnym atakiem.

Możliwość szybkiej weryfikacji założeń poczynionych w głowie względem tego o czym mówią polityki dostępu jest bardzo ważne. Jak to miało miejsce w przypadku portów SMB podczas WannaCry, użytkownicy nie byli świadomi, że porty te są publicznie dostępne w ich sieciach. Automatyzując analizę dostępu, klienci mogą sprawdzić, czy dostęp do sieci jest zgodny lub czy naruszają przyjęte wewnętrznie zasady. Pozwala to również skutecznie zarządzać działaniami naprawczymi w sieci.

W przypadku zdarzeń BlueKeep wykrytych przez skanery innych firm, Skybox może nadać cenny kontekst sieciowy oraz nadać priorytety tym, które powinny zostać naprawione w pierwszej kolejności.

Symulacje ataków przeprowadzone przez Skybox analizują ścieżki sieciowe w celu wyróżnienia wrażliwych asset’ów narażonych na potencjalne źródła zagrożenia, również tych umieszczonych w Internecie. Współczynnik narażenia bierze pod uwagę newralgiczność danego asset’u (lub systemu, który się na nim znajduję), tak aby priorytety środków zaradczych były proste i skoncentrowane na szybkiej redukcji ryzyka.

Podczas gdy środki zaradcze dotyczące podatnych na ataki zasobów bezpośrednio narażonych na źródła zagrożenia otrzymują najwyższy priorytet, Skybox oblicza także potencjał kompromitacji poprzez boczny ruch sieci, jak w przypadku ataków wieloetapowych. Ekspozycje pośrednie znajdują również odzwierciedlenie w priorytetach środków zaradczych.

Klienci powinni natychmiast zastosować odpowiednie aktualizacje Microsoft. Jeżeli poprawki nie mogą zostać wdrożone od razu, Skybox zasugeruje również inne możliwe sposoby zapobiegania ryzyku, często unikalne dla każdego środowiska, aby chronić wrażliwe zasoby innymi dostępnymi technologiami lub metodami.