Σχεδόν ένα εκατομμύριο συσκευές είναι ευάλωτες σε επιθέσεις που αφορούν ευπάθεια των Windows που ονομάζεται BlueKeep και φαίνεται ότι οι hackers έχουν ήδη αρχίσει τη σάρωση του ιστού σε αναζήτηση πιθανών στόχων.
Η ευπάθεια που εντοπίζεται ως CVE-2019-0708, επηρεάζει τα Windows Remote Desktop Services (RDS) και επιλύθηκε από τη Microsoft με τα May 2019 Patch Tuesday updates. Το ελάττωμα έχει περιγραφεί ως worm και μπορεί να χρησιμοποιηθεί από κακόβουλο λογισμικό για να εξαπλωθεί ακριβώς όπως το περίφημο WannaCry ransomware που μας ταλαιπώρησε το 2017 μέσω του EternalBlue exploit.
Ένας εισβολέας χωρίς δικαιώματα πρόσβασης μπορεί να χρησιμοποιήσει το ελάττωμα για να εκτελέσει αυθαίρετο κώδικα και να πάρει τον έλεγχο ενός συστήματος χωρίς την αλληλεπίδραση των χρηστών, στέλνοντας ειδικά δημιουργημένα αιτήματα μέσω του πρωτοκόλλου Remote Desktop Protocol (RDP).
Η Microsoft έχει κυκλοφορήσει ενημερωμένες εκδόσεις κώδικα για τα Windows 7, Server 2008, XP και Server 2003. Οι χρήστες των Windows 7 και του Server 2008 μπορούν να αποτρέψουν τις επιθέσεις κάνοντας enable το Network Level Authentication (NLA) ή μπλοκάροντας τη θύρα TCP 3389.
Πολλοί περιμένουν να δουν επιθέσεις που αφορούν το BlueKeep ανά πάσα στιγμή, καθώς έχουν ήδη αναπτυχθεί πολλά proof-of-concept (PoC) exploits – αν και κανένα από τα PoC exploits δεν έχει δημοσιοποιηθεί. Τα βιομηχανικά και ιατρικά προϊόντα βρίσκονται επίσης σε κίνδυνο.
Ο Robert Graham της Errata Security διεξήγαγε μια σάρωση στο διαδίκτυο και βρήκε πάνω από 923.000 συσκευές που φαίνεται να είναι ευάλωτες στις επιθέσεις BlueKeep.
«Οι hackers είναι πιθανό να ξεκινήσουν τις επιθέσεις τους τον επόμενο μήνα ή σε δύο μήνες και να προκαλέσουν όλεθρο με αυτά τα μηχανήματα», τόνισε ο Graham.
Ο εμπειρογνώμονας έχει επίσης εντοπίσει πάνω από 1,4 εκατομμύρια συστήματα που φαίνεται να έχουν λάβει τα κατάλληλα patches και περίπου 1,2 εκατομμύρια που δεν μπορούν να γίνουν exploit λόγω της χρήσης του NLA ή του Credential Security Provider Support Protocol (CredSSP).
Τουλάχιστον δύο οργανισμοί στον κυβερνοχώρο έχουν ήδη αναφέρει ότι βλέπουν δραστηριότητα σάρωσης με στόχο το CVE-2019-0708 exploit.
Η GreyNoise Intelligence αναφέρει ότι όλη η δραστηριότητα είχε εντοπιστεί στα Tor exit nodes και πιστεύει ότι είναι πιθανό να πραγματοποιηθεί από έναν μόνο hacker.
Η Ελλάδα μαζί με τις Ολλανδία, Ρωσία, Κίνα, Αμερική, Γερμανία, Βιετνάμ, Βόρεια Κορέα και Καναδά είναι οι βασικές χώρες με την μεγαλύτερη επικινδυνότητα στο συγκεκριμένο exploit!
Εγκαταστήστε ΑΜΕΣΑ τα patches που κυκλοφόρησε η Microsoft για το CVE-2019-0708.
