Майският Patch Tuesday, който Microsoft издаде предния месец съдържаше множество кръпки за незапушени дупки в Windows и продуктите, свързани със системата. Между тях беше и CVE-2019–0708 – проблем в Windows Remote Desktop Services (RDS). BlueKeep, каквото име ѝ беше дадено от специалистите по сигурността се отличава с няколко важни характеристики, между които това, че експлоатирането ѝ не изисква потребителят да предприема, каквото и да е действие, за да стане жертва на експлойта за нея, а заедно с това стана ясно, че веднъж компрометирал успешно системата, зловредният код, поради спецификата на проблема, има възможност да се разпространява автоматично в мрежовия периметър – точно, както WannaCry преди две години.
Проучване на Errata от края на миналия месец показа, че почти милион са уязвимите на BlueKeep системи. Не закъсня и появата на работещи експлойти в Интернет, а с това и на първите атаки към CVE-2019–0708. Скорошно откритие на Ренато Мартино от Morphus Labs представя една доста притеснителна картина. Той открил чрез собствено проучване посредством Shodan, че уязвимите на BlueKeep в Интернет сървърни машини са близо 2.4 милиона. Мартино алармира и за открит от него масивен ботнет, който активно се опитва да компрометира RDP сървъри. GoldBrute, въпросната мрежа от зомбирани системи е атакувала за броени дни около 1.5 милиона такива сървъра. Що се отнася до споменатите атаки, те се опитват да отгатнат данните за вписване в сървърите посредством bruteforce атака.
„Първоначално, ботът започва да сканира произволно IP адреси, за да намери повече хостове с изложени на атаки RDP сървъри, като впоследствие тези адреси биват докладвани на контролиращите атаките. След като ботът докладва за 80 нови жертви, контролният сървър инструктира бота да атакува точно определени цели. В случая, една инфектирана машина (бот) пробва само едно конкретно име и парола за даден компютър. Това се прави с цел атаката да не събуди подозрение в инструментите за защита, тъй като всеки опит за вписване идва от различни адреси“, обяснява Мартино.
Веднъж компрометирана машината, на нея се сваля голям архив, съдържащ кода на ботнета, като самата машина става част от мрежата от зомби компютри.
Не е съвсем ясно каква е крайната цел на създавания въпросен ботнет, но вероятно ще стане ясно в следващите седмици и месеци. Проблемът с CVE-2019–0708 е достатъчно сериозен, щом първо Microsoft издадоха две предупреждения за риска в рамките на две седмици, а заедно с това Агенцията за национална сигурност на САЩ (АНС) издадоха свой ред специален бюлетин, с който алармираха за рисковете, свързани с уязвимостта.
„Ако RDP не е нужен, изключете го във времето, в което не се използва. Вероятно създаването на правило в защитната стена за блокиране на RDP на порт 3389, също би била добра предохранителна мярка“, пише Джон Дън от блога на Sophos.
Ако все пак, RDP е нужен, допълва той, би било добре да се използва през VPN портал, така че да не бъде изложен на Интернет. И не на последно място, включването на някаква форма за мултифакторна автентикация, намалява риска, данните за вписване в сървъра да бъдат компрометирани.
