Wysiłki Microsoftu na marne, milion pecetów wciąż podatnych na BlueKeep

Maciej Olanicki, 29.05.2019 r.

Podatność CVE-2019-0708 znana jako BlueKeep może oznaczać ogromne kłopoty dla użytkowników Windowsa i Microsoftu. Luka w usłudze zdalnego pulpitu często porównywana jest do dziury w protokole SMB, która doprowadziła do kampanii ransomware WannaCry. Nie bez przyczyny, znów zaszyfrowanych mogą zostać miliony komputerów na całym świecie, wystarczy włączona niezałatana usługa nasłuchująca odpowiednio spreparowanego żądania.

Skala zagrożenia po raz wtóry – po katastrofie WannaCry – zmobilizowała Microsoft do wydania łatek bezpieczeństwa na niewspierane już systemy operacyjne, Windowsa XP i Windows Server 2003. Zaledwie dwa dni temu grupa GreyNoise Intelligence dostarczyła być może dowód na słuszność takich praktyk – analiza ruchu sieciowego wykazała, że ukryci za węzłem końcowym sieci Tor potencjalni atakujący skanują Sieć w poszukiwaniu maszyn z niezałataną usługą zdalnego pulpitu.

Ale nie tylko potencjalni inicjatorzy globalnej kampanii ransomware sprawdzili, w jakim stopniu zabezpieczone są komputery z Windowsem. Zrobił to także Robert Graham z grupy Errata Security, za pomocą autorskiego skanera portów masscan. Zaledwie po kilku godzinach skanowania portu 3389 wykorzystywanego przez usługę zdalnego pulpitu Graham otrzymał ponad 7,5 mln wyników, z czego niemal milion, dokładnie 923 671 posiada podatność CVE-2019-0708.

Zobacz też: Ktoś skanuje Internet w poszukiwaniu luki BlueKeep. Nachodzi powtórka WannaCry?

Graham zakłada, że niewielka część z tej liczby to specjalnie ustawione węzły, mające śledzić skany hakerów, właśnie w ten sposób dane zbierało najpewniej GreyNoise Intelligence. Wciąż jednak mowa o niecałym milionie podatnych maszyn. Każda z nich może być podłączona do firmowej lub lokalnej sieci i sama dalej rozsiewać na przykład ransomware. Milion ten w najczarniejszym scenariuszu stanowi jedynie wektor ataku, zainfekowanych może zostać znacznie więcej komputerów.

Czy zatem kolejne złamanie własnych zasad przez Microsoft w postaci wydania łatki na niewspierane systemy odniosło oczekiwane rezultaty. Ten medal ma także drugą stronę – z analizy Grahama wynika, że ponad 1,4 mln maszyn zostało zabezpieczonych, a zatem ich posiadacze licznie, nawet jeśli odliczymy Windowsa 7 i inne wciąż aktualizowane systemy, skorzystali z nadprogramowej ochrony Microsoftu. Czy to uchroni nas przed kampanią na miarę WannaCry? Czas pokaże.