Современные угрозы для Windows – BlueKeep и другие

В самой популярной настольной ОС в августе 2019 года выявлены критические уязвимости CVE‑2019‑1181 и CVE‑2019‑1182. Они относятся к службе удаленных рабочих столов (службе терминалов) и позволяют злоумышленникам получать доступ к другим машинам в сети.

Мы попросили специалистов компании Tom Hunter рассказать о BlueKeep и аналогичных уязвимостях, появившихся в последнее время, и дать рекомендации по нивелированию угрозы безопасности рабочих станций под управлением Windows.

Суть угроз

С помощью модифицированного RDP-запроса злоумышленник может получить возможность исполнять любой код на атакуемой машине. Для доступа не нужно проходить авторизацию. Фактически все, что необходимо злоумышленнику, – это знать адрес уязвимого к угрозе компьютера под управлением Windows, а формулировка из отчета «возможность исполнять любой код» подразумевает, что он выполняется с правами администратора.

В случае успеха атаки хакер получает самые широкие полномочия в системе и полный контроль над ней. В числе полученных полномочий – доступ к любым файлам в системе. Не только чтение, но и редактирование, установка и удаление любых программ, а также создание новых учетных записей с максимальным уровнем доступа

Уязвимые системы

По словам руководителя Центра безопасности по реагированию на инциденты компании Microsoft Саймона Поупа, выявленные в августе баги (CVE‑2019‑1181 и CVE‑2019‑1182) актуальны для всех версий Windows 10, включая серверные. Кроме того, угроза касается следующих операционных систем Windows:

• 7 SP1;
• Server 2008 R2 SP1;
• Server 2012;
• Server 2012 R2;
• 8.1.

Проведение атаки с использованием обнаруженной уязвимости невозможно на машинах под управлением Windows XP, Windows Server 2003 и Windows Server 2008. А вот для обнаруженной в мае CVE-2019-0708 (BlueKeep) список ОС включает именно эти операционные системы с небольшими изменениями: Windows Server 2008 угроза также не затронула, но актуальна для Windows 7, Server 2008 R2, XP и Server 2003.
Таким образом, обнаруженные в августе CVE‑2019‑1181 и CVE‑2019‑1182 являются родственными «майской» BlueKeep (CVE-2019-0708). В совокупности они затрагивают практически все семейство операционных систем Windows.

Уровень угрозы

По словам Криса Геттла, директора по управлению продуктами в Ivanti, данные угрозы могут спровоцировать глобальное заражение компьютеров по всему миру, которое будет сопоставимо с нашумевшим WannaCry. Поскольку злоумышленник получает доступ к выполнению любого кода на уязвимой машине, заражению могут быть подвергнуты все компьютеры под управлением Windows в атакуемой сети.
Серьезность угрозы подтверждается выпуском пакета обновлений для уже не поддерживаемой Windows XP и Server 2003 (доступны в каталоге Центра обновления Windows).

Реакция Microsoft

BlueKeep была закрыта еще в мае пакетом обновлений безопасности, содержащим устранение еще порядка восьмидесяти ранее выявленных проблем. В их числе и еще одна критическая уязвимость CVE-2019-0725, относящаяся к DHCP-серверу Windows. Как и BlueKeep, ее можно было использовать для выполнения любого кода на сервере, отправив специально модифицированный пакет в его адрес.

Что же касается CVE‑2019‑1181 и CVE‑2019‑1182, то на сегодняшний день уже имеются официальные патчи, закрывающие эти уязвимости. Специалисты Microsoft акцентируют внимание на том, что они пока еще не использовались в реальных атаках, но попыток их совершения следует ожидать уже в самое ближайшее время: как только в распоряжении злоумышленников окажется соответствующий эксплойт.

В ситуации, если у администратора отсутствует возможность оперативной установки обновления на уязвимые компьютеры, необходимо хотя бы настроить аутентификацию на сетевом уровне (Network Level Authentication). Однако и в этом случае угроза массового заражения сохраняется, если в распоряжении злоумышленников окажется доступ к какому-либо аккаунту внутренней сети атакуемой компании.

Повышение уровня безопасности

При эксплуатациях упомянутых выше угроз хакерами компании-жертвы могут потерять доступ к ценной информации и рискуют выводом из строя рабочих станций и серверов. Злоумышленнику не составит труда заразить станции троянами или даже блокировщиками, поскольку уязвимости допускают выполнение любого программного кода на атакуемом компьютере с правами администратора.

С помощью пентеста – атакующего аудита безопасности – можно выявить большинство имеющихся в корпоративной сети уязвимостей и предположить основные векторы атаки, которыми могут воспользоваться злоумышленники. Заказать проведение пентеста, который будет учитывать особенности именно вашей сети, можно в компании Tom Hunter .

Похожие записи
Microsoft Windows 8 так же и на планшетах

Microsoft Windows 8 так же и на планшетах

18.07.2011

В прошлом месяце компания Microsoft показывала уже внешний вид своей новой операционной системы. ОП на данный момент именуется Windows 8, и довольно сильно похожа на мобильную версию Windows Phone 7. ...

Angry Birds можно найти теперь и на Windows Phone 7

Angry Birds можно найти теперь и на Windows Phone 7

06.07.2011

Angry Birds можно встретить почти на всех жизнеспособных платформах, настольных и мобильных. Они присутствуют в браузере Google Chrome, а также есть за пределами виртуальной реальности. Но, совсем нед...

Asus прекратит выпускать планшеты под управлением Windows RT

Asus прекратит выпускать планшеты под управлением Windows RT

14.08.2013

Представители компании Asus официально объявили о том, что компания планирует прекратить выпуск новых моделей планшетных компьютеров под управлением операционной системы Windows RT. Причиной этому реш...

Windows Store теперь включает традиционные настольные приложения

Windows Store теперь включает традиционные настольные приложения

17.11.2017

Microsoft делает Windows Store более полезным, позволяя традиционным настольным приложениям войти в общий ассортимент. Ранее Windows Store ограничил постройку приложений для Universal Windows Platform...