Две недели назад Windows сообщила об обнаружении критической уязвимости в Windows XP, Windows 7 и других более старых системах Windows. Уязвимость под названием BlueKeep связана со службами удаленного рабочего стола и потенциально может использоваться червями. Это означает, что она может быть использована для запуска вредоносной программы, которая будет самостоятельно распространяться между системами, содержащими данную уязвимость.

Windows выпустил патч 14 мая, после чего рекомендовала пользователям и компаниям, которые используют пострадавшие версии операционной системы, как можно быстрее установить данный патч.

Возможная кибер-преступная активность

А теперь были обнаружены попытки сканирования Интернета в поисках систем, содержащих эту уязвимость. В результате данных предупреждений о том, насколько опасным может быть BlueKeep, сообщество ИТ-безопасности осуществляет мониторинг уязвимости в поисках признаков атак и PoC, которые могут быть использованы для создания эксплойтов BlueKeep.

Хотя пока ни один исследователь не опубликовал каких-либо эксплойтов для данной уязвимости, некоторые организации подтвердили, что они уже успешно разработали эксплойты BlueKeep, которые они будут держать в строгом секрете, чтобы их нельзя было использовать при кибер-атаках.

Спустя несколько дней, 24 мая, компания в сфере исследования угроз GreyNoise сообщила, что она начала обнаруживать сканирования, с помощью которых осуществлялся поиск систем Windows с уязвимостью BlueKeep. Считается, что такая активность проводится одним из кибер-преступников.

На данный момент речь идет лишь о простом сканировании – пока не зафиксированы попытки использования данной уязвимости. Однако тот факт, что злоумышленник тратит свое время и ресурсы на составление списка уязвимых устройств говорит о том, что, скорее всего, готовится атака. Учитывая, что по оценкам экспертов насчитывается порядка миллиона уязвимых устройств, данная атака может иметь разрушительные последствия.

Поскольку как минимум шесть организаций разработали эксплойты для BlueKeep, а также имеется как минимум два очень подробных отчета по данной уязвимости, то разработка собственных эксплойтов кибер-престпупниками – это всего лишь вопрос времени.

Опасность уязвимостей

Список кибер-атак, которые стали возможны за счет использования уязвимостей, обширен. Самая известная атака последних лет WannaCry была возможна благодаря уязвимости Windows под названием EternalBlue. Уязвимости EternalBlue и BlueKeep имеют нечто общее: обе могут быть использованы для распространения компьютерных червей. Этот факт заставляет беспокоиться специалистов по информационной безопасности – это означает, что теоретически BlueKeep может использоваться в кибер-атаке, аналогичной по своим размерам WannaCry.

Не так давно EternalBlue стоял за одной крупной кибер-атакой. Американский город Балтимор был поражен атакой шифровальщика, которая вывела из строя большую часть муниципальной ИТ-системы. Спустя три недели город все еще пытается восстановить свои системы. По данным The New York Times, причиной этой атаки стал EternalBlue.

Но что самое худшее в обоих этих случаях? Почти за два месяца до начала атаки WannaCry корпорация Microsoft выпустила патч для закрытия уязвимости EternalBlue, а потому те компании, которые вовремя его установили, не пострадали от этой атаки. И тот факт, что Балтимор пострадал аналогичным образом, спустя два года после выхода патча, является поразительным доказательством того, насколько важно устанавливать обновления безопасности. Это также является доказательством отсутствия времени и ресурсов, которые необходимо выделять на мониторинг уязвимостей, обновления и установку патчей.

Как защититься от BlueKeep

И хотя пока на текущий момент ведется сканирование уязвимых систем, крайне важно уже сейчас закрыть эту уязвимость, учитывая вероятность того, что она будет использоваться в реальной атаке. Когда была обнаружена уязвимость в системе, Microsoft выпустила патч для пострадавших систем, включая Windows XP, Windows 7 и Windows Server 2008. Этот патч необходимо установить как можно быстрее.

Чтобы защитить свою компанию от любой кибер-угрозы, важно использовать современное решение информационной безопасности с опциями расширенной защиты. К таким решениям относится Panda Adaptive Defense, которое предоставляет комплексную видимость всей активности в сети, благодаря чему вы всегда точно можете знать, что происходит.

Данное решение также имеет дополнительный модуль Panda Patch Management, для внедрения которого клиентам не требуется дополнительно ничего не устанавливать. Этот модуль предоставляет обновления и патчи не только для различных версий операционных систем Windows, но и для нескольких сотен сторонних приложений. Panda Patch Management осуществляет автоматический аудит, мониторинг и расстановку приоритетов у обновлений для операционных систем и приложений через единую панель. Более того, он также способен сдерживать и смягчать атаки, использующие уязвимости, применяя непрерывную политику критических обновлений для обнаружения любой потенциальной угрозы даже до того момента, как она станет опасной.