Как мы уже неоднократно рассказывали, в настоящее время единственным доступным публично эксплоитом для уязвимости BlueKeep, является модуль Metasploit, представленный разработчиками в сентябре текущего года. Код данного эксплоита основывается на proof-of-concept специалиста RiskSense Шона Диллона (Sean Dillon).
И хотя в целом эксплоит работает, у него есть существенный недостаток: в некоторых системах он может провоцировать возникновение BSOD, а не предоставлять атакующему удаленный шелл. Эту проблему заметил известный британский специалист Кевин Бомонт (Kevin Beaumont), изучая недавнюю вредоносную кампанию, использующую BlueKeep. Так, атаки неизвестных злоумышленников вывели из строя 10 из 11 «приманок» исследователя, заставив их аварийно завершить работу и вызвав появление BSOD.
Как стало известно теперь, разработчики модуля BlueKeep для Metasploit намерены исправить эту ошибку в конце текущей недели. Издание ZDNet сообщает, что, по словам Диллона, основной причиной возникновения BSOD оказался патч для процессорной уязвимости Meltdown, ранее выпущенный Microsoft. Чтобы обойти этот неприятный момент разработчики решили немного скорректировать работу эксплоита на раннем этапе, чтобы не пришлось создавать полноценный обход для исправления Meltdown. С техническими подробностями возникшей проблемы можно ознакомиться в блоге Диллона.
К сожалению, для простых пользователей более надежный эксплоит для проблемы BlueKeep вряд ли станет хорошей новостью. Дело в том, что, по данным BinaryEdge, в сети до сих пор насчитывается более 700 000 уязвимых Windows-систем (не считая тех, что расположены внутри частных сетей, за брандмауэрами), то есть патчи по-прежнему установили далеко не все. И даже если специалисты Microsoft ошибаются и напрасно опасаются появления самораспространяющихся червей, использующих BlueKeep для доставки вымогателей и другой малвари, злоумышленники все равно могут эффективно использовать уязвимость.
«Большинство уязвимых перед устройств BlueKeep – это серверы. А в целом серверы Windows имеют возможность контролировать устройства в сети. Они либо являются администраторами домена, либо на них установлены инструменты управления сетью, либо они имеют те же учетные данные локального администратора, что использует остальная сеть. Скомпрометировав сетевой сервер, невероятно легко использовать автоматизированные инструменты для внутренних атак (например, сервер распространяет вымогателей на каждую системы в сети), — рассказывает британский эксперт Маркус «MalwareTech» Хатчинсон, который, в частности, известен благодаря тому, что остановил эпидемию WannaCry. — Реальный риск от BlueKeep — это не червь. Червь бесполезный и слишком «шумный». Как только злоумышленник проникнет в сеть, он может нанести гораздо больший урон, используя стандартные автоматизированные инструменты, а не BlueKeep. Людям пора перестать беспокоиться о червях и начать беспокоиться о базовой сетевой безопасности. Оградите свои серверы от интернета, озаботитесь вопросом гигиены учетных данных. Черви иногда появляются, но целые сети ежедневно подвергаются компрометации только лишь из-за использования стандартных инструментов».
Источник: xakep.ru