neprihlásený Pondelok, 22. júla 2019, dnes má meniny Magdaléna   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Ďalší exploit na vážnu zraniteľnosť Windows BlueKeep, napísať ho má byť mierne ťažké

Značky: bezpečnosťWindows

DSL.sk, 6.6.2019


Vyvinutý bol ďalší funkčný exploit na veľmi vážnu bezpečnostnú zraniteľnosť CVE-2019-0708 známu tiež pod označením BlueKeep, keď exploit vyvinul aj bezpečnostný expert Sean Dillon zo spoločnosti RiskSense.

Dillon pomocou exploitu demonštroval hacknutie serverovej verzie Windows Server 2008 R2.

Podľa jeho vyjadrenia pre Ars technica vyvinúť exploit je len mierne ťažké pre niekoho s potrebnými znalosťami fungovania Windows a jemu to trvalo desiatky hodín. Mechanizmus exploitu je podľa neho jednoduchší ako v prípade exploitu EternalBlue použitého pred dvomi rokmi v červe WannaCry.

Exploit je už niekoľkým funkčným exploitom vyvinutým bezpečnostnými expertami pre BlueKeep, dá sa tak očakávať aj možné vyvinutie a použitie exploitu aj útočníkmi. Užívateľom, ktorí tak neurobili, je tak odporúčané čo najskôr aktualizovať svoju zraniteľnú verziu Windows.

Pri poslednom vážnom útoku červa WannaCry využívajúceho vážnu zraniteľnosť vo Windows SMB pred dvomi rokmi mali útočníci výhodu v úniku funkčného exploitu EternalBlue, ktorý použili. Exploit bol vyvinutý a unikol NSA.



Zraniteľnosť s označením BlueKeep sa nachádza v komponente Remote Desktop Services zabezpečujúcom vzdialený prístup k desktopu cez protokol RDP a môže byť zneužitá na diaľku cez sieť, štandardne nevyžaduje žiadnu autentifikáciu užívateľa ani súčinnosť užívateľa a umožňuje spustenie útočníkom zvoleného kódu a získanie kontroly nad napadnutým systémom.

Nachádza sa vo Windows XP, Vista, 7, Server 2003, 2003 R2, 2008 a 2008 R2.

Zraniteľnosť je tak veľmi nebezpečná, keď umožňuje automatickú infekciu a šírenie škodlivého kódu typu červa. Zároveň port pre vzdialený prístup k desktopu majú často úmyselne prístupný z Internetu aj počítače inak sa nachádzajúce za firewallom. Podľa minulotýždňových informácií Errata Security bolo z Internetu prístupných cca 950 tisíc reálne zraniteľných počítačov na BlueKeep. Prípadný červ by tak mohol mať vážne následky, keď po infikovaní týchto počítačov priamo z Internetu by predpokladane mohol infikovať z týchto počítačov ďalšie veľké množstvo počítačov na interných sieťach, ktoré nemajú port 3389 prístupný z Internetu.

V prípade podporovaných systémov Windows 7, Server 2008 a Server 2008 R2 je aktualizácia šírená cez automatické aktualizácie prípadne sa dá stiahnuť na tejto stránke, pre Windows XP, Vista, Server 2003 a Server 2003 R2 môže byť stiahnutá z tejto stránky.

V prípade, že užívateľ nemôže z nejakých dôvodov uskutočniť aktualizáciu, zneužitiu zraniteľnosti sa dá zabrániť niekoľkými spôsobmi. Možné je zakázať službu Remote Desktop Services, zablokovať na firewalle TCP spojenia na port 3389 na zraniteľné počítače alebo v prípade Windows 7 a Server 2008 a 2008 R2 povoliť NLA, Network Level Authentication. V poslednom prípade sa dá zraniteľnosť ale stále zneužiť, ak útočník pozná nejaké platné prihlasovacie údaje.


      Zdieľaj na Twitteri



Najnovšie články:

Štát ide zverejňovať zdrojové kódy svojich IT systémov
India úspešne odštartovala na Mesiac
Trailery pre viaceré sci-fi seriály
Firefox zvažuje pridanie Toru ako rozšírenia
EÚ mierne zmenila pravidlá .eu, občanom EÚ v Británii ich nezoberie
Indovia sa pokúsia pristáť na Mesiaci, po posune štartujú zajtra
Ľudstvo dnes oslavuje 50 rokov od pristátia na Mesiaci
Výrobcovia podporujú PCI Express 4.0 na existujúcich doskách, aj keď je AMD proti
Sci-fi seriál Agents of S.H.I.E.L.D. zrušený
Intel zrejme zvýši výkon Atomov, pridá L3 cache


Diskusia:
                               
 

Ak mam remote assistence a remote access vo Win7 vypnute (v nastaveniach System), potom som v pohode, ci? Alebo by som mal napriek tomu aj tak natvrdo deaktivovat sluzbu RDP v services.msc? Tieto remote featurky od Microsoftu som nikdy nepouzival.

Stary dobry TeamViewer ...
Odpovedať Známka: 5.0 Hodnotiť:
 

Nebude lepsie a ucinnejsie aplikovat block na TCP port 3389 priamo v routri, ktory je pripojeny na WAN? Potom netreba vsetky pocitace v sieti konfigurovat, nakolko vsetky maju pristup na net vyhradne cez tento konkretny router (access point).
Odpovedať Hodnotiť:
 

Nebude, dostaneš napr. Mail s prílohou, otvoríš spustí sa červ oskenuje vserky RDP v lokálnej sieti a zaútočí. Alebo stačí ak sa ti do siete niekto pripojí už s napadnutý notebookom. Výsledok rovnaký.
Odpovedať Známka: 5.6 Hodnotiť:
 

Presne tak. Útočník získa kontrolu nad napadnutým systémom a potom sa oň musí až do smrti starať, takže používateľ ušetrí za servis i administráciu priekazne tak či tak.
Odpovedať Známka: 8.2 Hodnotiť:
 

OK, takza staci deaktivovat sluzbu/protokol? Tym padom cerv nebude schopny tuto masinu identifikovat?

Maily cez klienta v PC zo zasady neprevadzkujem, pripajam sa na IMAP server priamo cez weboveho klienta, pricom na serveri je skener havede.
Odpovedať Hodnotiť:
 

zákazať RDP servis
zablokovať port 3389
treba aktualizovať


Odpovedať Známka: 6.7 Hodnotiť:
 

Odinštalovať Windows. Port 3389 zostane zachovaný.
Odpovedať Známka: 7.5 Hodnotiť:
 

A aktualizacia od Microsoftu naozaj nieco vyriesi (oravi) alebo len zakaze sluzbu RDP namiesto mna a prida do firewallu nove pravidlo?

Do pici aj s Microsoftom ...
Odpovedať Hodnotiť:
 

install arch
Odpovedať Známka: 7.3 Hodnotiť:
 

dopece s majklsoftom, e citaj americky eii
Odpovedať Hodnotiť:
 


Odpovedať Hodnotiť:
 


Odpovedať Hodnotiť:

Pridať komentár