BlueKeep - BlueKeep
 Un logo creato per la vulnerabilità, con un mastio , una torre fortificata costruita all'interno di castelli .
| |
| Identificativi CVE | CVE - 2019-0708 |
|---|---|
| Data rattoppata | 14 maggio 2019 |
| Scopritore | Centro nazionale per la sicurezza informatica del Regno Unito |
| Software interessato | pre- di Windows 8 versioni di Microsoft Windows |
BlueKeep ( CVE - 2019-0708 ) è una vulnerabilità di sicurezza che è stato scoperto in Microsoft 's Remote Desktop Protocol implementazione (RDP), che consente la possibilità di esecuzione di codice remoto .
Segnalato per la prima volta a maggio 2019, è presente in tutte le versioni senza patch di Microsoft Windows basate su Windows NT da Windows 2000 a Windows Server 2008 R2 e Windows 7 . Microsoft ha rilasciato una patch di sicurezza (incluso un aggiornamento fuori banda per diverse versioni di Windows che hanno raggiunto la fine del loro ciclo di vita, come Windows XP ) il 14 maggio 2019. Il 13 agosto 2019, le vulnerabilità di sicurezza di BlueKeep correlate, collettivamente denominato DejaBlue , sono stati segnalati per influenzare le versioni più recenti di Windows, tra cui Windows 7 e tutte le versioni recenti fino a Windows 10 del sistema operativo, nonché le versioni precedenti di Windows. Il 6 settembre 2019, è stato annunciato che un exploit Metasploit della vulnerabilità di sicurezza BlueKeep wormable è stato rilasciato nel regno pubblico.
Storia
La vulnerabilità di sicurezza di BlueKeep è stata rilevata per la prima volta dal National Cyber Security Center del Regno Unito e, il 14 maggio 2019, segnalata da Microsoft . La vulnerabilità è stata denominata BlueKeep dall'esperto di sicurezza informatica Kevin Beaumont su Twitter . BlueKeep è ufficialmente registrato come: CVE- 2019-0708 ed è una vulnerabilità legata all'esecuzione di codice in modalità remota " wormable " .
Sia la US National Security Agency (che ha emesso il proprio avviso sulla vulnerabilità il 4 giugno 2019) sia Microsoft hanno dichiarato che questa vulnerabilità potrebbe essere potenzialmente utilizzata da worm auto-propaganti , con Microsoft (in base alla stima di un ricercatore di sicurezza che quasi 1 milione di dispositivi erano vulnerabili) dicendo che un tale attacco teorica potrebbe essere di una scala simile a EternalBlue a base di attacchi come NotPetya e WannaCry .
Lo stesso giorno dell'avviso della NSA, i ricercatori del CERT Coordination Center hanno divulgato un problema di sicurezza correlato a RDP separato nell'aggiornamento di Windows 10 maggio 2019 e in Windows Server 2019 , citando un nuovo comportamento in cui le credenziali di accesso RDP Network Level Authentication (NLA) sono memorizzato nella cache sul sistema client e l'utente può riottenere l'accesso alla propria connessione RDP automaticamente se la connessione di rete viene interrotta. Microsoft ha eliminato questa vulnerabilità come comportamento previsto e può essere disabilitata tramite Criteri di gruppo .
Al 1 ° giugno 2019, nessun malware attivo della vulnerabilità sembrava essere pubblicamente noto; tuttavia, potrebbero essere disponibili codici proof of concept (PoC) non divulgati che sfruttano la vulnerabilità. Il 1 ° luglio 2019, Sophos , una società di sicurezza britannica, ha riferito di un esempio funzionante di tale PoC, al fine di sottolineare l'urgente necessità di correggere la vulnerabilità. Il 22 luglio 2019, ulteriori dettagli di un exploit sono stati presumibilmente rivelati da un oratore della conferenza di una società di sicurezza cinese. Il 25 luglio 2019, esperti di computer hanno riferito che poteva essere disponibile una versione commerciale dell'exploit. Il 31 luglio 2019, esperti di computer hanno segnalato un aumento significativo dell'attività RDP dannosa e hanno avvertito, sulla base di storie di exploit da vulnerabilità simili, che un exploit attivo della vulnerabilità BlueKeep in natura potrebbe essere imminente.
Il 13 agosto 2019, è stato segnalato che le vulnerabilità di sicurezza di BlueKeep correlate, denominate collettivamente DejaBlue , interessano le versioni più recenti di Windows, incluso Windows 7 e tutte le versioni recenti del sistema operativo fino a Windows 10 , nonché le versioni precedenti di Windows.
Il 6 settembre 2019, è stato annunciato che un exploit della vulnerabilità di sicurezza di BlueKeep wormable è stato rilasciato nel regno pubblico. La versione iniziale di questo exploit era, tuttavia, inaffidabile, essendo nota per causare errori di " schermata blu della morte " (BSOD). Successivamente è stata annunciata una correzione, rimuovendo la causa dell'errore BSOD.
Il 2 novembre 2019 è stata segnalata la prima campagna di hacking BlueKeep su scala di massa, che includeva una missione di cryptojacking infruttuosa.
L'8 novembre 2019, Microsoft ha confermato un attacco BlueKeep e ha esortato gli utenti a patchare immediatamente i loro sistemi Windows.
Meccanismo
Il protocollo RDP utilizza "canali virtuali", configurati prima dell'autenticazione, come percorso dati tra client e server per fornire estensioni. RDP 5.1 definisce 32 canali virtuali "statici" e i canali virtuali "dinamici" sono contenuti in uno di questi canali statici. Se un server associa il canale virtuale "MS_T120" (un canale per il quale non esiste un motivo legittimo per cui un client si connette) con un canale statico diverso da 31, si verifica un danneggiamento dell'heap che consente l'esecuzione di codice arbitrario a livello di sistema.
Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 e Windows Server 2008 R2 sono stati indicati da Microsoft come vulnerabili a questo attacco. Le versioni più recenti della 7, come Windows 8 e Windows 10 , non sono state interessate. La Cybersecurity and Infrastructure Security Agency ha dichiarato di aver ottenuto con successo anche l'esecuzione del codice tramite la vulnerabilità su Windows 2000 .
Mitigazione
Microsoft ha rilasciato patch per la vulnerabilità il 14 maggio 2019, per Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 e Windows Server 2008 R2 . Ciò includeva le versioni di Windows che hanno raggiunto la fine del ciclo di vita (come Vista, XP e Server 2003) e quindi non sono più idonee per gli aggiornamenti di sicurezza. La patch forza il suddetto canale "MS_T120" ad essere sempre associato a 31 anche se richiesto diversamente da un server RDP.
La NSA ha raccomandato misure aggiuntive, come la disabilitazione dei servizi Desktop remoto e la porta associata ( TCP 3389) se non viene utilizzata e la richiesta di autenticazione a livello di rete (NLA) per RDP. Secondo la società di sicurezza informatica Sophos , l'autenticazione a due fattori potrebbe rendere il problema RDP meno vulnerabile. Tuttavia, la migliore protezione è togliere RDP da Internet: disattivare RDP se non necessario e, se necessario, rendere RDP accessibile solo tramite VPN .