BlueKeep
BlueKeep היא פגיעות אבטחה, שהתגלתה ביישום של פרוטוקול Remote Desktop Protocol) RDP), המאפשרת ביצוע קוד מרחוק.
BlueKeep פורסמה לראשונה במאי 2019 והיא קיימת בכל הגרסאות הלא מבוססות של Windows NT של Microsoft Windows מ- Windows 2000 דרך Windows Server 2008 R2 ו- Windows 7. מיקרוסופט פרסמה תיקון אבטחה (כולל עדכון חריג למספר גרסאות של חלונות שהגיעו לסוף חייהם ולא זכאים לתמיכה, כגון Windows XP) ב־14 במאי 2019. ב־13 באוגוסט 2019, דווח על פרצות אבטחה הקשורות ל- BlueKeep, הנקראות ביחד בשם DejaBlue, בגרסאות חדשות יותר של Windows, כולל Windows 7 וכל הגרסאות האחרונות של מערכות ההפעלה ממשפחת windows, עד מערכת ההפעלה Windows 10. מספר המעקב לו זכתה הפגיעות הוא CVE-2019-0708.
ב־6 בספטמבר 2019 הוכרז על מודול ניצול ראשון של פגיעות האבטחה BlueKeep ששוחרר לשימוש ציבורי בMetasploit.
היסטוריה
פגיעות האבטחה של BlueKeep צוינה לראשונה על ידי המרכז הלאומי לאבטחת סייבר בבריטניה וב־14 במאי 2019 פורסמה על ידי מיקרוסופט. הפגיעות נקראה ב- BlueKeep על ידי מומחה אבטחת המחשבים קווין ביומונט בטוויטר. מספר המעקב רשמי של BlueKeep הוא: CVE-2019-0708 והיא מוגדרת כפגיעות של ביצוע קוד שרירותי מרחוק. הן הNSA שהוציאה ייעוץ משלה בנושא הפגיעות ב-4 ביוני 2019 והן מיקרוסופט, הצהירו כי פגיעות זו עשויה לשמש להפצת נוזקות נוספות במערכת. שבועיים לאחר העדכון הראשוני שהפיצה, הפיצה מיקרוסופט אזהרה שנייה, לאחר שחוקרי אבטחה מצאו אינדיקציות המראות כי לכל-הפחות מיליון מכשירים עדיין פגיעים לפגיעות החמורה. במיקרוספוט הזהירו כי מתקפה תאורטית של BlueKeep עשויה להיות בקנה מידה דומה למתקפות הענק שהתבוססו על EternalBlue כמו NotPetya ו-WannaCry[1][2][3].
החל מ-1 ביוני 2019, נראה כי שום תוכנה זדונית פעילה המממשת את הפגיעות לא הייתה ידועה בציבור. עם זאת, ייתכן שהיו קיימים הוכחות היתכנות (Proof of concept) המנצלים את הפגיעות[4]. ב־1 ביולי 2019, Sophos, חברת אבטחה בריטית, הדגימה הוכחת היתכנות של הBlueKeep, במטרה להדגיש את הצורך הדחוף לתקן את הפגיעות[5]. ב -22 ביולי 2019 נחשפו לכאורה פרטים נוספים על ניצול הפגיעות על ידי דובר ועידה מטעם חברת אבטחה סינית. ב־25 ביולי 2019 דיווחו מומחי מחשבים כי ייתכן שגרסה מסחרית של הניצול הייתה זמינה. מאוחר יותר, ב־31 ביולי 2019, דיווחו מומחי מחשבים על עלייה משמעותית בפעילות ה-RDP הזדונית והזהירו, על סמך היסטוריה של ניצולים מנקודות תורפה דומות, כי ניצול מעשי של הפגיעות BlueKeep עשוי להיות קרוב[6].
ב־6 בספטמבר 2019 הוכרז על ניצול של פגיעות האבטחה של BlueKeep ששוחררה לשימוש ציבורי בMetasploit. עם-זאת, הגרסה הראשונית של ניצול זה הייתה לא מהימנה, והיא ידועה כגורמת לשגיאת 'מסך המוות הכחול' (BSOD). מאוחר יותר הוכרז על תיקון שהסיר את הסיבה לשגיאת ה-BSOD בניצול זה.
ב־2 בנובמבר 2019 דווח על קמפיין פריצות BlueKeep הראשון בקנה מידה המוני, אשר כלל משימה לא מוצלחת של כריית מטבעות מבוזרות, בדגש על מטבעות מונרו. מאוחר יותר, ב־8 בנובמבר, אישרה מיקרוסופט שזיהתה מימוש התקפה של BlueKeep, וקראה למשתמשים לתקן מידית את מערכות Windows שלהם.
ב־13 באוגוסט 2019, דווח על פרצות אבטחה הקשורות ל- BlueKeep, אשר זכו לשם DejaBlue בגרסאות חדשות יותר של Windows, כולל Windows 7 וכל שאר הגרסאות של מערכת ההפעלה עד Windows 10[7].
הסבר טכני
פרוטוקול RDP משתמש ב"ערוצים וירטואליים", שהוגדרו לפני אימות, כנתיב נתונים בין הלקוח לשרת לאספקת הרחבות. RDP 5.1 מגדיר 32 ערוצים וירטואליים "סטטיים", וערוצים וירטואליים "דינמיים" כלולים באחד מהערוצים הסטטיים הללו. אם שרת קושר את הערוץ הווירטואלי "MS_T120" (ערוץ שאין סיבה לגיטימית עבורו לקוח להתחבר אליו, שכן מיקרוסופט משתמשת בו לשימושים פנימיים) עם ערוץ סטטי שאינו 31, מתרחשת השחתת זיכרון המאפשרת ביצוע קוד שרירותי ברמת המערכת[8].
Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 ו- Windows Server 2008 R2 הוגדרו על ידי מיקרוסופט כפגיעות להתקפה זו. גרסאות חדשות מ־7, כגון Windows 8 ו- Windows 10, לא הושפעו. הסוכנות לאבטחת סייבר ותשתיות של ארצות הברית הודיעה כי ביצעה בהצלחה גם הרצת קוד באמצעות הפגיעות ב- Windows 2000[9].
תיקון הפגיעות
מיקרוסופט פרסמה תיקוני פגיעות ב־14 במאי 2019 לBluekeep, עבור Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 ו- Windows Server 2008 R2. באופן חריג, עדכונים אלו כללו תיקוני פגיעות לגרסאות של Windows שהגיעו לסוף חייהן (כגון Vista, XP ו- windows server 2003) וברמה העקרונית אינן זכאיות עוד לעדכוני אבטחה. התיקון מכריח את ערוץ "MS_T120" הנ"ל להיות מחויב תמיד לערוץ 31 גם אם שרת הRDP מתבקש אחרת.
כמו כן, ה-NSA המליץ על אמצעים נוספים להגנה על הRDP, כגון השבתת שירותי שולחן עבודה מרוחק והפורט המשויך אליו (TCP 3389) אם לא משתמשים בו, ודורשים אימות ברמת רשת (NLA) עבור RDP. על פי חברת אבטחת המחשבים Sophos, אימות דו-שלבי עשוי לחזק את אבטחתו של ה-RDP. עם זאת, ההגנה הטובה ביותר היא מניעת הפעלת RDP באינטרנט, כיבוי הRDP אם אין צורך, ובמידת הצורך, הפעל את RDP רק דרך VPN[10].
הערות שוליים
- ^ Catalin Cimpanu, Even the NSA is urging Windows users to patch BlueKeep (CVE-2019-0708), ZDNet (באנגלית)
- ^ Dan Goodin, Microsoft practically begs Windows users to fix wormable BlueKeep flaw, Ars Technica, 2019-05-31 (באנגלית)
- ^ Tom Warren, Microsoft warns of major WannaCry-like Windows security exploit, releases XP patches, The Verge, 2019-05-14 (באנגלית)
- ^ Davey Winder, Microsoft Issues 'Update Now' Warning To Windows Users, Forbes (באנגלית)
- ^ rew Br, t, BlueKeep PoC demonstrates risk of Remote Desktop exploit, Sophos News, 2019-07-01 (באנגלית)
- ^ Microsoft dismisses new Windows RDP ‘bug’ as a feature, Naked Security, 2019-06-06 (באנגלית)
- ^ "New BlueKeep-Style Bugs Renew the Risk of a Windows Worm". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-2020-10-03.
- ^ RDP Stands for “Really DO Patch!” – Understanding the Wormable RDP Vulnerability CVE-2019-0708, McAfee Blogs, 2019-05-21 (באנגלית)
- ^ Liam Tung, Homeland Security: We've tested Windows BlueKeep attack and it works so patch now, ZDNet (באנגלית)
- ^ RDP exposed: the wolves already at your door, Naked Security, 2019-07-17 (באנגלית)
31680159BlueKeep