Современные угрозы для Windows – BlueKeep и другие

В самой популярной настольной ОС в августе 2019 года выявлены критические уязвимости CVE‑2019‑1181 и CVE‑2019‑1182. Они относятся к службе удаленных рабочих столов (службе терминалов) и позволяют злоумышленникам получать доступ к другим машинам в сети.

Мы попросили специалистов компании Tom Hunter рассказать о BlueKeep и аналогичных уязвимостях, появившихся в последнее время, и дать рекомендации по нивелированию угрозы безопасности рабочих станций под управлением Windows.

Суть угроз

С помощью модифицированного RDP-запроса злоумышленник может получить возможность исполнять любой код на атакуемой машине. Для доступа не нужно проходить авторизацию. Фактически все, что необходимо злоумышленнику, – это знать адрес уязвимого к угрозе компьютера под управлением Windows, а формулировка из отчета «возможность исполнять любой код» подразумевает, что он выполняется с правами администратора.

В случае успеха атаки хакер получает самые широкие полномочия в системе и полный контроль над ней. В числе полученных полномочий – доступ к любым файлам в системе. Не только чтение, но и редактирование, установка и удаление любых программ, а также создание новых учетных записей с максимальным уровнем доступа

Уязвимые системы

По словам руководителя Центра безопасности по реагированию на инциденты компании Microsoft Саймона Поупа, выявленные в августе баги (CVE‑2019‑1181 и CVE‑2019‑1182) актуальны для всех версий Windows 10, включая серверные. Кроме того, угроза касается следующих операционных систем Windows:

• 7 SP1;
• Server 2008 R2 SP1;
• Server 2012;
• Server 2012 R2;
• 8.1.

Проведение атаки с использованием обнаруженной уязвимости невозможно на машинах под управлением Windows XP, Windows Server 2003 и Windows Server 2008. А вот для обнаруженной в мае CVE-2019-0708 (BlueKeep) список ОС включает именно эти операционные системы с небольшими изменениями: Windows Server 2008 угроза также не затронула, но актуальна для Windows 7, Server 2008 R2, XP и Server 2003.
Таким образом, обнаруженные в августе CVE‑2019‑1181 и CVE‑2019‑1182 являются родственными «майской» BlueKeep (CVE-2019-0708). В совокупности они затрагивают практически все семейство операционных систем Windows.

Уровень угрозы

По словам Криса Геттла, директора по управлению продуктами в Ivanti, данные угрозы могут спровоцировать глобальное заражение компьютеров по всему миру, которое будет сопоставимо с нашумевшим WannaCry. Поскольку злоумышленник получает доступ к выполнению любого кода на уязвимой машине, заражению могут быть подвергнуты все компьютеры под управлением Windows в атакуемой сети.
Серьезность угрозы подтверждается выпуском пакета обновлений для уже не поддерживаемой Windows XP и Server 2003 (доступны в каталоге Центра обновления Windows).

Реакция Microsoft

BlueKeep была закрыта еще в мае пакетом обновлений безопасности, содержащим устранение еще порядка восьмидесяти ранее выявленных проблем. В их числе и еще одна критическая уязвимость CVE-2019-0725, относящаяся к DHCP-серверу Windows. Как и BlueKeep, ее можно было использовать для выполнения любого кода на сервере, отправив специально модифицированный пакет в его адрес.

Что же касается CVE‑2019‑1181 и CVE‑2019‑1182, то на сегодняшний день уже имеются официальные патчи, закрывающие эти уязвимости. Специалисты Microsoft акцентируют внимание на том, что они пока еще не использовались в реальных атаках, но попыток их совершения следует ожидать уже в самое ближайшее время: как только в распоряжении злоумышленников окажется соответствующий эксплойт.

В ситуации, если у администратора отсутствует возможность оперативной установки обновления на уязвимые компьютеры, необходимо хотя бы настроить аутентификацию на сетевом уровне (Network Level Authentication). Однако и в этом случае угроза массового заражения сохраняется, если в распоряжении злоумышленников окажется доступ к какому-либо аккаунту внутренней сети атакуемой компании.

Повышение уровня безопасности

При эксплуатациях упомянутых выше угроз хакерами компании-жертвы могут потерять доступ к ценной информации и рискуют выводом из строя рабочих станций и серверов. Злоумышленнику не составит труда заразить станции троянами или даже блокировщиками, поскольку уязвимости допускают выполнение любого программного кода на атакуемом компьютере с правами администратора.

С помощью пентеста – атакующего аудита безопасности – можно выявить большинство имеющихся в корпоративной сети уязвимостей и предположить основные векторы атаки, которыми могут воспользоваться злоумышленники. Заказать проведение пентеста, который будет учитывать особенности именно вашей сети, можно в компании Tom Hunter .