BlueKeep – tak nazywa się najnowsza wykryta luka RCE w zabezpieczeniach Microsoft, a konkretniej w protokole zdalnego pulpitu RDP pozwalająca przejąć kontrolę nad komputerem bez konieczności podawania poświadczeń (uwierzytelnienia użytkownika).
RDP (ang.Remote Desktop Protocol) jest od wielu lat najbardziej popularnym i często używanym przez administratorów i użytkowników w firmach protokołem do zdalnej administracji serwerami i stacjami roboczymi oraz do łączenia się do aplikacji na serwerze terminali. Udane wykorzystanie opisywanej luki umożliwia cyberprzestępcom uruchomienie dowolnego kodu w systemie docelowym ofiary, czego dalszym skutkiem może być możliwość zainstalowania programów do śledzenia użytkowników, usuwania/wykradania danych oraz tworzenia kont użytkownika z podwyższonymi uprawnieniami (np. administracyjnych).
Podatność otrzymała oficjalny kod pod numerem CVE-2019-0708 i dotyczy wielu systemów operacyjnych Windows, które obejmują zarówno wspierane jak i niewspierane wersje.
14 maja firma Microsoft wydała poprawkę na lukę BlueKeep, która dotyczy sposobu, w jaki usługi Remote Desktop Services obsługują żądania połączeń. Dotyczy ona systemów operacyjnych:
- Windows 2003
- Windows XP
- Windows Vista
- Windows 7
- Windows 2008
- Windows 2008 R2
Podatność nie dotyczy systemów z systemem Windows 8 i 10. Microsoft załatał podatność we wspieranych wersjach, a także zaoferował łatki dla niewspieranych już wersji Windows. Ciekawostką jest też, że Microsoft wydał specjalną wersję łatki dla systemów operacyjnych stosowanych w bankomatach, w których niedopuszczalny jest restart maszyny.
Firma McAfee zamieściła w Internecie film z przykładowego wykorzystania podatności CVE-2019-0708, na którym pokazuje, jak można zdalnie wywołać kod na maszynie ofiary i uruchomić na niej aplikację kalkulatora.
Jakie skutki może spowodować luka?
Cyberprzestępcy mogą wykorzystać podatność w niedalekiej przyszłości do atakowania systemów i szerzenia wśród firm zagrożeń podobnie jak to działo się w przypadku ataku WannyCry. Administratorzy systemów powinni jak najszybciej zastosować poprawki dla swoich systemów.
Jak rodzić sobie z problemem?
Oprócz monitorowania systemów pod względem podejrzanych połączeń i uwierzytelnień użytkowników zalecamy:
- Zablokowanie usługi pulpitu zdalnego, jeśli jest używana
- Zablokowanie portu TCP 3389 na firewallu firmy tak, żeby nie był dostępny z zewnątrz
- Zastosowanie poprawki do zagrożonych komputerów z włączonym RDP