- Το BlueKeep είναι ένα σφάλμα ασφαλείας τύπου wormable στα Remote Desktop Services της Microsoft που επιτρέπει στους hacker να αποκτήσουν τον έλεγχο από απόσταση των ευάλωτων συστημάτων.
- Οι προγραμματιστές της Metasploit κυκλοφόρησαν το πρώτο λειτουργικό πρωτότυπο του κώδικα του exploit με δυνατότητες εκτέλεσης payload.
- Το Bitdefender εξέτασε τον προσφάτως δημοσιευμένο κώδικα του exploit Bluekeep και το Introspection Hypervisor αποτρέπει αυτήν την επίθεση
Την περασμένη Παρασκευή, οι ερευνητές ασφάλειας που εργάζονται στο έργο Metasploit κυκλοφόρησαν τον πρώτο λειτουργικό κώδικα εκμετάλλευσης για να επιτύχουν την εκτέλεση κώδικα ενάντια σε συστήματα ευάλωτα στο BlueKeep. Αυτή η ευπάθεια υψηλής επίδρασης που επηρεάζει τα Remote Desktop Services της Microsoft καταχωρήθηκε για πρώτη φορά ως CVE-2019-0708 τον Μάιο του 2019. Στις 14 Μαΐου, η Microsoft άρχισε να κυκλοφορεί διορθώσεις για προσβεβλημένα λειτουργικά συστήματα των Windows.
Η εκμετάλλευση δεν είναι ακόμα 100% αξιόπιστη σε απομακρυσμένη εκτέλεση κώδικα. Τα στοχευμένα συστήματα ενδέχεται να αντιμετωπίσουν ένα BSOD κατά την εκτέλεση του payload. Ωστόσο, είναι αρκετά αξιόπιστο για να επιβεβαιώσει ότι η προστασία του πυρήνα του Bitdefender Hypervisor Introspection (HVI) που κυκλοφόρησε το 2017 ουσιαστικά νίκησε το BlueKeep. Εκείνη την εποχή, η ευπάθεια και η εκμετάλλευση δεν ήταν γνωστές στο κοινό και θα είχαν αποτραπεί ως 0-day.
Γιατί το BlueKeep είναι τόσο επικίνδυνο;
Το BlueKeep είναι ένα από αυτά τα ελαττώματα ασφαλείας μεγάλης σοβαρότητας που θεωρούνται «wormable». Αυτά τα τρωτά σημεία είναι συνήθως σφάλματα σε ευρέως χρησιμοποιούμενες υπηρεσίες λειτουργικού συστήματος που εκτίθενται συνήθως στον εξωτερικό κόσμο από διαχειριστές συστημάτων και επιτρέπονται από ομάδες ασφαλείας. Οι hacker επιθυμούν να εκμεταλλευτούν τις ευπάθειες που εντοπίζονται σε ευρέως εκτεθειμένες υπηρεσίες για να μεγιστοποιήσουν και να αυτοματοποιήσουν τον τρόπο επίθεσης που χτίζουν. Για να χειροτερέψουν τα πράγματα, επιτυχημένες επιθέσεις αποκτούν πλήρη έλεγχο του συστήματος, καθώς το εκμεταλλευόμενο εξάρτημα RDP είναι Windows kernel driver.
Υπήρξαν αρκετές επιθετικές επιθέσεις υψηλού προφίλ τα τελευταία χρόνια. Το WannaCry είναι μια αρκετά πρόσφατη worm επίθεση υψηλού προφίλ που αξιοποιεί την ευπάθεια EternalBlue για να εξαπλωθεί το ransomware. Μήνες πριν από την επίσκεψη του WannaCry, γράψαμε για το πώς η ενδοσκόπηση του Bitdefender Hypervisor ξεπέρασε το EternalBlue exploit.
Πως το Hypervisor Introspection εμποδίζει την εκμετάλλευση;
Το Introspection Hypervisor Introspection (HVI) της Bitdefender είναι μια υπερσύγχρονη τεχνολογία κατά της εκμετάλλευσης που χρησιμοποιεί τα API Virtual Machine Introspection, ενσωματωμένα σε σύγχρονους hypervisors, για την παρακολούθηση ολόκληρου του αποτυπώματος μνήμης των λειτουργούντων VM. Αυτό επιτρέπει στην τεχνολογία να εστιάζει στην αναγνώριση των τεχνικών επίθεσης κατά τη διάρκεια της λειτουργίας στη μνήμη, παρά στην αναζήτηση προηγούμενων συμπεριφορών. Το Hypervisor Introspection δεν απαιτεί προηγούμενη γνώση της ευπάθειας ή όπου είναι, και δεν απαιτεί προηγούμενη γνώση του κώδικα εκμετάλλευσης.
Τα kernel exploits όπως το BlueKeep (και το EternalBlue) απαιτούν προσεκτικές ενέργειες προκειμένου να αποκτήσουν πρόσβαση στα API του λειτουργικού συστήματος. Όταν λαμβάνεται η αρχική εκτέλεση κώδικα, το exploit δεν μπορεί να κάνει πολλά χωρίς να καλέσει τις λειτουργίες του λειτουργικού συστήματος, δεδομένου ότι εκτελείται σε ένα αυθαίρετο περιβάλλον που θα αδρανοποιήσει ή θα συντρίψει το σύστημα. Για να “μεταναστεύσει” σε ένα γνωστό περιβάλλον, ο κακόβουλος κώδικας θα προσπαθήσει να παρεμποδίσει το χειριστή OS SYSCALL. Το Hypervisor Introspection παρακολουθεί τις δομές του πυρήνα του λειτουργικού συστήματος, συμπεριλαμβανομένων των προδιαγραφών συγκεκριμένων μοντέλων CPU, αποτρέποντας τις κακόβουλες αλλαγές. Με αυτόν τον τρόπο, το Introspection Hypervisor παρέχει γενική προστασία σε ολόκληρες κατηγορίες επιθέσεων που βασίζονται στην ίδια τεχνική εκμετάλλευσης.
Το Hypervisor Introspection είναι διαθέσιμο σήμερα για περιβάλλοντα Citrix Hypervisor και ως μέρος ενός προγράμματος τεχνικής προεπισκόπησης για οργανισμούς που λειτουργούν με τον KVM hypervisor.
