Пользователи Windows вновь оказываются в опасности

Когда в мае 2019 года Microsoft выпустила первый патч за долгие годы для Windows XP, все начали понимать, что-то грядет. Это что-то, оказалось уязвимостью для Windows, которое, как предупредили эксперты по безопасности, может иметь такой же эффект, как и вирусный червь WannaCry 2017 года. Уязвимость “BlueKeep” существует в непатентованных версиях Windows Server 2003, Windows XP, Windows Vista, Windows 7, Windows Server 2008 и Windows Server. 2008 R2. Сейчас же, официально подтверждается, что в настоящее время продолжается атака с использованием уязвимости BlueKeep.

Немного истории про BlueKeep

Компания Microsoft дважды предупреждала пользователей об обновлении уязвимых систем Windows, сначала 14 мая, а затем с еще большей срочностью 30 мая. Эти предупреждения, по-видимому, многие пользователи оставили без внимания, чтобы оправдать эскалацию предупреждений об обновлении. 4 июня Агентство национальной безопасности (АНБ) предприняло необычный шаг, опубликовав рекомендацию, призывающую администраторов Microsoft Windows обновить свою операционную систему или подвергнуться риску разрушительного и широкомасштабного воздействия перед лицом растущей угрозы. Это предупреждение, было еще более серьезным, когда 17 июня правительство США через Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило предупреждение “об обновлении прямо сейчас”. В то же самое время, исследователи безопасности предсказывали, что “разрушительный” эксплойт BlueKeep появится только через несколько недель.

Атака на Windows с помощью BlueKeep

Исследователи безопасности, включая Кевина Бомонта, который первоначально предсказал атаку, и Маркуса Хатчинса (также известного как MalwareTech), подтвердили, что в настоящее время ведется широко распространенная атака с использованием эксплойтов BlueKeep. Хатчинс рассказал Wired, что “BlueKeep существует, уже некоторое время. Но это первый случай, когда он увидел использование в массовом масштабе”.

Вместо того, чтобы создавать угрозу, когда эксплойт BlueKeep может распространяться с одного компьютера на другой, злоумышленники ищут уязвимые незапатченные системы Windows, в которых порты служб удаленного рабочего стола (RDP) 3389 открыты для доступа в Интернет. Это снижает панику о том, что может случиться еще один “WannaCry”, хотя потенциал для такого сценария, в гораздо меньших масштабах, но безусловно, остается. На данный момент, это похоже на масштабную атаку с использованием полезной загрузки майнера криптовалюты.

BlueKeep используется для скрытой атаки

Однако, всегда существует вероятность того, что угрозы, стоящие за атакой, могут создать больше вредоносных загрузок, чем крипто-майнер. На данный момент это является еще одним предупреждением для пользователей 700 000 систем Windows, которые должны установить обновление. Майнеры криптовалюты являются в лучшем случае источниками ресурсов, но это также площадка, на которой могут последовать дальнейшие установки вредоносных программ. Однако, в случае этой атаки, существует еще одна проблема, это код эксплойта. Похоже, что злоумышленники используют демонстрационный код эксплойта, выпущенный командой Metasploit на Rapid7 в сентябре 2019 года, но они еще не обладают достаточными навыками кодирования, чтобы заставить его работать, не вызывая ошибку “Синий экран смерти” (BSOD).