Η Microsoft προειδοποιεί και πάλι (για δεύτερη φορά) τους πελάτες της για την ευπάθεια BlueKeep ή CVE-2019-0708. Να υπενθυμίσουμε ότι το συγκεκριμένο κενό ασφαλείας υπάρχει σε παλαιότερες εκδόσεις των Windows και στην υπηρεσία Remote Desktop Protocol (RDP).
Η εταιρεία δημοσίευσε την δεύτερη προειδοποίηση γιατί τις δύο τελευταίες μέρες εμφανίστηκαν online, exploits με δύο διαφορετικά PoCs (για παράδειγμα)
“Η Microsoft είναι πεπεισμένη ότι υπάρχει ένα exploit για αυτό το θέμα και αν οι πρόσφατες αναφορές είναι ακριβείς, σχεδόν ένα εκατομμύριο online υπολογιστές εξακολουθούν να είναι ευάλωτοι στο CVE-2019-0708“, ανέφερε ο Simon Pope, Διευθυντής του Incident Response, στο Microsoft Security Response Center (MSRC).
Οι σαρώσεις για υπολογιστές που είναι ευάλωτοι στο BlueKeep συνεχίζονται εδώ και μια εβδομάδα και φέρεται να εμφανίζουν ένα συνεχώς αυξανόμενο ρυθμό ευάλωτων συστημάτων. Η Microsoft λοιπόν μετά την εμφάνιση των δημόσιων PoC προειδοποιεί ξανά πριν ξεκινήσουν οι επιθέσεις.
Οι ενημερώσεις που επιδιορθώνουν το θέμα είναι διαθέσιμες για όλα τα παλειότερα λειτουργικά την Microsoft (Windows XP, Windows Vista, Windows 7, Windows Server 2003 και Windows Server 2008) όλες τις εκδόσεις των Windows δηλαδή που είναι ευάλωτες στις επιθέσεις BlueKeep.
Η εταιρεία είχε προειδοποιήσει για πρώτη φορά στις 14 Μαΐου, όταν κυκλοφόρησε τις ενημερώσεις που επιδιόρθωναν το ζήτημα. Τότε η εταιρεία είχε αναφέρει, ότι το ελάττωμα ήταν επικίνδυνο επειδή όχι μόνο επέτρεπε την απομακρυσμένη εκτέλεση, αλλά και επειδή ήταν worm (έχει την ικανότητα αυτοαναδιπλασιασμού).
“Η σύστασή μας παραμένει η ίδια. Σας συνιστούμε να ενημερώσετε το συντομότερο δυνατόν όλα τα επηρεαζόμενα συστήματα”, αναφέρει ο Simon Pope.
Εδώ να αναφέρουμε ότι το PoC που δίνουμε παραπάνω μέσω του GitHub δεν και τόσο είναι τόσο επικίνδυνο, καθώς μπορεί να χτυπήσει ένα απομακρυσμένο ευάλωτο σύστημα, αλλά δεν μπορεί να τρέξει κώδικα σε αυτό.
Ωστόσο έμπειροι reverse engineers ήταν σε θέση να επιτύχουν απομακρυσμένη εκτέλεση κώδικα αλλά δεν δημοσίευσαν κάποιο PoC υπό το φόβο μιας μαζικής μόλυνσης.
Οι ερευνητές ασφαλείας που κατάφεραν να δημιουργήσουν κάποιο λειτουργικό exploit είναι από τις εταιρείες Zerodium, McAfee, Kaspersky, Check Point, MalwareTech, και Valthek.