Як відомо, майже один мільйон ПК з Windows залишаються вразливими до BlueKeep, уразливості в службі протоколу віддаленого робочого столу (RDP), що впливає на старі версії ОС Windows. Уразливість BlueKeep, яка позначається як CVE-2019-0708, протягом останніх двох тижнів була головним об’єктом уваги спільнот, що фокусуються на ІТ та кібербезпеці, пише ZDNet.

Здавалося, все могло бути виправлене у цей вівторок, коли Microsoft випустила патчі. Але недолік BlueKeep є заплутаним, а це означає, що хакери можуть запускати через нього шкідливі програми, які можуть розмножуватися та розповсюджуватися самостійно, подібно до того, як хакери використовували експлойт EternalBlue SMB під час роботи WannaCry, NotPetya , і Bad Rabbit 2017 року.

Але, незважаючи на рівень небезпеки уразливості, не було зафіксовано жодних атак, головним чином тому, що немає жодного відомого готового коду, який суб’єкти, що несуть потенційну загрозу, можуть адаптувати та впровадити у свої атаки.

Деякі агресивні сканування в даний час тривають, і незрозуміло, хто за ними стоїть, за словами кібер-безпеки фірми GreyNoise, який помітив цю діяльність у вихідні дні.

Доброю новиною є те, що компанії можуть застосовувати патчі для зменшення цього ризику. Наразі доступні патчі для Windows XP, 7, Server 2003 і Server 2008( версії Windows, уразливі до атак BlueKeep).

У дослідженні  Роберт Грем, голова дослідницької фірми Errata Security, і автор утиліти для сканування Інтернету, представив найточнішу статистику про кількість систем Windows, які все ще є вразливими до атак BlueKeep.

Хоча спочатку вважалося, що існує майже 7,6 мільйонів Windows систем, підключених до Інтернету, які потенційно можуть бути атаковані, Грем сказав сьогодні, що число насправді ближче до 950,000.

Більшість із семи мільйонів систем, що мають порт 3389 (RDP), доступний з Інтернету, насправді не є системами з ОС Windows, або вони не виконують службу RDP на цьому порту, виявив Грем.

Дослідник сказав, що переважна більшість систем Windows з послугою RDP, доступною в мережі, є безпечними – ознаки приблизно 1,5 мільйона таких пристроїв, що доступні для сканування, є специфічними для вже виправлених систем.

Тим не менш, 950,000 – це аж ніяк не маленька кількість, навіть якщо вона поступається кількості того, що вже виправлено та того, що не працює на Windows.

“Хакери, швидше за все, з’ясують надійний спосіб використання експлойта протягом наступних одного-двох місяців і спричинять хаос з цими машинами”, – попередив Грем.

Крім того, через обмеження інструментарія сканування, Грему не вдалося перевірити системи Windows на внутрішніх мережах, які, швидше за все, приховують ще більш вразливі машини.

Час, коли компаніям доведеться латати старі системи Windows проти BlueKeep, починає закінчуватися, і дослідники безпеки очікують, що атаки почнуться в будь-який час.
Інструмент, який використовував Грем під час досліджень, доступний на GitHub під назвою rdpscan – суміш між його власним засобом masscan та сканером BlueKeep, розробленим компанією RiskSense.

Нагадаємо, уразливість BlueKeep у службах віддаленого робочого столу може стати новим вектором для розповсюдження шкідливих програм. У разі використання уразливості кіберзлочинці зможуть отримати доступ до комп’ютера жертви без необхідних облікових даних або взаємодії з користувачем.

Також спеціаліст проекту Google Project Zero Тевіс Орманді (Tavis Ormandy) повідомив про уразливість в текстовому редакторі Notepad (“Блокнот”) у складі ОС Windows, що дозволяє віддалено виконати код.

До речі, інсталяція одного з головних нововведень в травневому оновленні Windows 10 May 2019 Update може призвести до непрацездатності віртуального середовища Windows Sandbox.

Google заявила, що додавання телефонного номера для відновлення може заблокувати всі автоматизовані спроби бота для доступу до облікових записів за допомогою облікових даних.

Автор: Максим Побокін