Ponad ćwierć miliona komputerów z Windows podatnych na tą lukę.
Skala zagrożenia
Półtora roku po tym, jak Microsoft ujawnił lukę BlueKeep dotyczącą usługi Windows RDP, ponad 245 000 systemów Windows nadal pozostaje niezałatanych i podatnych na ataki. Liczba ta stanowi około 25% z 950000 systemów, które początkowo odkryto jako podatne na ataki BlueKeep podczas pierwszego skanowania w maju 2019 roku.
Ponadto co najmniej 103.000 systemów Windows pozostaje także podatnych na SMBGhost, lukę w protokole Server Message Block v3 (SMB), który jest dostarczany z najnowszymi wersjami systemu Windows. Ta luka została z kolei ujawniona w marcu 2020 roku.
Obie luki umożliwiają atakującym zdalne przejęcie systemów Windows i są uważane za jedne z najpoważniejszych błędów ujawnionych w systemie Windows w ciągu ostatnich kilku lat.
Administratorzy nieskwapliwi do aktualizacji
To, że luki nie zostały załatane mimo ich dotkliwości potwierdzają badania przeprowadzone w ciągu ostatnich kilku tygodni przez przedstawiciela SANS ISC Jana Koprivę. Kopriva twierdzi, że BlueKeep i SMBGhost nie są jedynymi poważnymi lukami w zabezpieczeniach, które można wykorzystać zdalnie, a które nadal są obecne w Internecie, narażając systemy na ataki.
Według czeskiego badacza bezpieczeństwa wciąż istnieją miliony systemów dostępnych w Internecie, których administratorzy nie zdołali załatać i są podatne na zdalne przejęcia. Obejmuje to systemy takie jak serwery IIS, agenci poczty e-mail Exim, klienci OpenSSL i witryny WordPress.
NSA ostrzega
Przyczyny pozostawienia tych systemów bez załatania pozostają nieznane, ale nawet ostatnie ostrzeżenia agencji rządowych USA ds. Bezpieczeństwa cybernetycznego nie pomogły i zagrożenie nie ustaje.
Mamy tu na myśli dwa ostrzeżenia z amerykańskiej Narodowej Agencji Bezpieczeństwa (National Security Agency, NSA). Jedno z nich zostało wydane w maju (dla błędu Exim CVE-2019-10149, który został wykorzystany przez hakerów rosyjskich), a drugie w październiku (dotyczące błędu BlueKeep, który został wykorzystany przez hakerów chińskich).
Sprawdź oferty pracy na TeamQuest
Jednak pomimo tych ostrzeżeń, nadal istnieje ponad 268 000 serwerów Exim bez odpowiednich łatek oraz właśnie ponad 245 000 niezałatanych pod kątem BlueKeep. Kopriva twierdzi, że liczby pokazują, że nawet bardzo znane luki w zabezpieczeniach są czasami pozostawione bez załatania przez lata.
Biorąc pod uwagę, jak niebezpieczny i dobrze znany jest BlueKeep, nasuwa się pytanie, ile innych, mniej znanych krytycznych luk w zabezpieczeniach pozostaje niezałatanych w podobnej liczbie systemów.
TeamQuest alarmował już pod koniec zeszłego roku, że BlueKeep nie wywołał należnego mu niestety zainteresowania.
BlueKeep, SMBGhost? Pierwsze słyszę
Luka CVE-2019-0708 (BlueKeep) dotyczy usług pulpitu zdalnego. Aby wykorzystać tę lukę, osoba atakująca musi wysłać specjalnie spreparowane żądanie do systemów docelowych Remote Desktop Service za pośrednictwem protokołu RDP. Sam protokół RDP (Remote Desktop Protocol) zdaniem przedstawicieli Microsoftu nie jest podatny na ataki. Ta luka polega na wstępnym uwierzytelnieniu i nie wymaga interakcji użytkownika. Innymi słowy, luka ta jest „robakowa” a więc wszelkie złośliwe oprogramowanie wykorzystujące tę lukę może rozprzestrzenić się z zaatakowanego skutecznie komputera na inną podatną maszynę.
Z kolei SMBGhost to luka w zabezpieczeniach spowodowana przepełnieniem buforu na serwerach SMB. Polega ona na tym, że podatne na tą lukę oprogramowanie obsługuje złośliwie spreparowany skompresowany pakiet danych. Zdalny, nieuwierzytelniony atakujący może to wykorzystać do wykonania dowolnego kodu.