ДејаБлуе: Нове грешке у стилу БлуеКееп значе да морате одмах да ажурирате Виндовс


Месецима, системи Администратори се утркују да закрпе своје Виндовс системе против БлуеКееп-а, што је критична рањивост у Мицрософтовом протоколу за удаљену радну површину који би могао омогућити глобалног, Интернет-жвакаћег црва, ако не буде поправљен на стотине хиљада рањивих рачунара. Тај црв још није стигао. Али сада, Мицрософт је ресетовао сат у тој трци, откривајући колекцију нових РДП рањивости, од којих би две могле резултирати истим врстама глобалног црва – и овај пут у новијим верзијама оперативног система Виндовс.

Мицрософт је данас упозорио Виндовс кориснике на седам нових рањивости у Виндовс-у које, попут БлуеКееп-а, могу да се користе путем РДП-а, алата који омогућава администраторима да се повежу на друге рачунаре у мрежи. Од тих седам грешака, Мицрософтови саветодавци су нагласили да су две нарочито озбиљне; попут БлуеКееп-а, они би се могли користити за кодирање аутоматизованог црва који скаче са машине на машину, потенцијално заразујући милионе рачунара. Како пише директор Центра за безбедносни одговор Мицрософта Симон Попе, "сваки будући злонамјерни софтвер који их користи могао би се ширити из рањивог рачунара у рањиви рачунар без интеракције корисника".

"Почиње изнова."

Роб Грахам, Еррата Сецурити

За разлику од БлуеКееп-а, међутим, нове грешке – које су научници за безбедност пратили ДејаБлуе-ове у шали, не утичу само на Виндовс 7 и раније, као што је то раније чинила рањивост РДП-а. Уместо тога, утиче на Виндовс 7 и шире, укључујући све недавне верзије оперативног система.

Марцус Хутцхинс, сигурносни истраживач који је пажљиво пратио РДП-ове рањивости и кодирао алат за доказ концепта за експлоатацију БлуеКееп-а, каже да можда постоји више машина рањивих на ДејаБлуе него на БлуеКееп. У овом тренутку, скоро сваки савремени Виндовс рачунар треба да се закрпи, пре него што хакери могу да уклоне инжењере оне поправке за трагове који би могли да помогну у стварању подвига.

"Људи који се нису надограђивали заувек би могли бити мало сигурнији од овога, али претпостављам да је много већи базен рачунара рањив на то", каже Хутцхинс. "Наравно, ако такође водите рачуна о БлуеКееп-у, онда то само усложњава проблем."

За разлику од БлуеКееп-а, чије је откриће Мицрософт приписао британској обавештајној агенцији ГЦХК, Мицрософт каже да је сам пронашао и закрпио ове нове грешке. „Ове рањивости Мицрософт је открио током отврдњавања услуга удаљене радне површине као део нашег сталног фокусирања на јачању сигурности наших производа“, каже Мицрософт. "Тренутно немамо доказа да су ове рањивости биле познате било којој трећој страни." Мицрософт није одмах одговорио на захтев за коментар.

Откако је БлуеКееп јавно објављен 14. маја, индустрија безбедности је омогућила корисницима да се закрпе са мешовитим резултатима: рачунајући од прошлог месеца, БлуеКееп је остао рањив између 730.000 и 800.000 рачунара. Роб Грахам, истраживач безбедности и оснивач компаније Еррата Сецурити, изградио је скенер за мерење броја машина рањивих на БлуеКееп у мају и у почетку пронашао готово милион рањивих машина. Сада процењује да је број машина рањивих на новим РДП грешкама вероватно на истом месту. "Почиње све изнова", каже Грахам.

Грахам, међутим, истиче да поставка која се зове Ауторизација на нивоу мреже на Виндовс машинама блокира употребу новог сета грешака. У својим претходним скенирањима пронашао је укупно 1,2 милиона Виндовс рачунара на којима је омогућено то подешавање. Али није јасно у којим верзијама Виндовса се ти рачунари покрећу или на колико других машина није укључена НЛА.

Добра вест је да Виндовс нуди подразумевано аутоматско ажурирање; они са омогућеном функцијом требало би да буду покривени ускоро, ако већ не. Свако ко је то искључио, сада би требало да укључи НЛА и преузме закрпу на нове РДП грешке овде.

Када се БлуеКееп први пут појавио, сигурносни истраживачи па чак и сам Мицрософт упозорили су да би он могао бити интегрисан у широко распрострањеног црва за само неколико недеља које би могле бити озбиљне као ВаннаЦри или НотПетиа, јер су се злобни хакери кретали брже од огромног броја рањивих корисника који су морали закрпати . Прошла су три месеца без икаквог црва, мада још скромнији хакери можда већ харају РДП у тајним, циљаним нападима. Непостојање очекиваног црва, кажу истраживачи, због суздржаности од стране истраживачке заједнице за безбедност, која се у великој мери уздржала од јавног објављивања алата за хакирање доказа о концепту који искориштавају БлуеКееп. Такође, мало је детаља постало јавно о томе како тачно БлуеКееп функционише, а изградња поузданог упада на основу њега изгледа изненађујуће тешко.

Експлоатација ДејаБлуе-а можда је маргинално лакша од БлуеКееп-а, каже Хутцхинс, који каже да му је кодирање БлуеКееп-овог експлоатације требало близу недеље пуног рада. Тежи део је, каже, манипулација меморијом рачунара тако да РДП грешка омогућава хакеру да покрене сопствени код уместо да руши рачунар. Кад ДејаБлуе сруши рачунар, каже Хутцхинс, он само руши РДП услугу на циљном уређају, а не на целој машини, омогућавајући хакери са непоузданим експлоатацијом да га још спремније употребе. „Блуекееп је захтијевао неку врсту специјализованог знања“, каже Хутцхинс. "Чини се да би могла да има већу групу људи способних да напише подвиг."

ДејаБлуе би могао да се закрпи брже него што је био БлуеКееп, напомиње Хутцхинс, пошто корисници са новијим верзијама Виндовса такође имају тенденцију да се закрпе поуздано. Хутцхинс такође каже да ће, након што је предвидио долазак црвеног БлуеКееп-а много пре данашњег дана, одустати од било каквих спекулација. "Сасвим је могуће да је црв за то можда вероватнији, али не можемо заиста да предвидимо шта ће људи да раде", каже Хутцхинс. "Лоши момци ће радити оно што ће учинити негативци."


Још сјајних прича о ВИРЕД-у