Microsoft memberi amaran bahawa Windows bug boleh membawa kepada satu lagi WannaCry

Microsoft memberi amaran bahawa Internet dapat melihat eksploitasi yang lain dengan magnitud serangan WannaCry yang menutup komputer di seluruh dunia dua tahun lalu kecuali orang-orang menyentuh kelemahan tinggi. Pembuat perisian mengambil langkah luar biasa untuk backporting patch yang baru dikeluarkan untuk Windows 2003 dan XP, yang tidak disokong dalam empat dan lima tahun, masing-masing.

"Kerentanan ini adalah pra-pengesahan dan tidak memerlukan interaksi pengguna," kata Simon Pope, pengarah tindak balas kejadian di Pusat Respon Keselamatan Microsoft, menulis dalam jurnal yang diterbitkan yang bertepatan dengan pembebasan May Update pada hari Selasa. "Dalam erti kata lain, kelemahan itu 'boleh dibasuh,' yang bermaksud bahawa mana-mana malware masa depan yang mengeksploitasi kelemahan ini boleh menyebarkan dari komputer terdedah kepada komputer terdedah dengan cara yang sama seperti malware WannaCry tersebar di seluruh dunia pada tahun 2017. Walaupun kita telah mengamati eksploitasi tidak kelemahan ini, kemungkinan besar pelaku jahat akan menulis eksploitasi untuk kelemahan ini dan memasukkannya ke dalam malware mereka. "

Seolah-olah kerapkod pelaksanaan kod-diri tidak cukup serius, CVE-2019-0708, kerana kecacatan di Windows Remote Desktop Services diindeks, memerlukan kerumitan yang rendah untuk mengeksploitasi. Kalkulator Sistem Pemarkahan Kerangka Umum Microsoft mencatatkan bahawa kerumitan sebagai 3.9 daripada 10. (Untuk menjadi jelas, pemaju WannaCry mempunyai kod eksploit yang kuat yang ditulis oleh, dan kemudian dicuri dari, Agensi Keselamatan Negara, untuk mengeksploitasi CVE-2017-0144 dan CVE-2017 Kelemahan CVE-2017-0145, yang mengeksploitasi kerumitan yang dinilai sebagai "tinggi". Walau bagaimanapun, akhirnya, membangunkan kod eksploit yang boleh dipercayai untuk kelemahan Windows terkini ini memerlukan kerja yang agak sedikit.

"Pengeksploitasian kerentanan, seperti yang diterangkan dalam nasihat, akan memerlukan seseorang menghantar paket khusus ke rangkaian ke sistem terdedah yang mempunyai khidmat RDP," Brian Bartholomew, penyelidik keselamatan senior di Global Research and Analysis Team Kaspersky Lab , memberitahu Ars dalam e-mel. "Pada masa lalu, eksploitasi untuk perkhidmatan ini telah cukup mudah untuk dipasarkan sebaik patch dibalikkan. Teka-teki saya yang terbaik ialah seseorang akan melepaskan eksploitasi untuk ini dalam beberapa hari akan datang. "

Bartholomew berkata firewall rangkaian dan pertahanan lain yang menyekat perkhidmatan RDP akan secara efektif menghentikan serangan daripada berlaku. Tetapi seperti yang diketahui oleh dunia semasa serangan WannaCry, langkah-langkah tersebut sering gagal mengandungi kerosakan yang secara kolektif boleh berbilion-bilion dolar.

Penyelidik bebas Kevin Beaumont, yang memetik pertanyaan mengenai mesin carian Shodan komputer yang berkaitan dengan Internet, berkata di sini bahawa kira-kira 3 juta titik akhir RDP secara langsung terdedah.

Update Kemas kini keselamatan yang sangat penting untuk Windows 🚨 CVE-2018-0708 membolehkan pelaksanaan kod terpencil, tanpa kebenaran adalah RDP (Remote Desktop). Satu perkara yang sangat buruk yang anda perlu patuhi. Sekitar 3 juta titik akhir RDP secara langsung terdedah kepada internet. //t.co/EAdg3VNMjw pic.twitter.com/u2V3uyoyVs

- Kevin Beaumont 🧝🏽♀️ (@GossiTheDog) 14 Mei 2019

Tod Beardsley, pengarah penyelidikan di firma keselamatan Rapid7, berkata pengimbas Internet alternatif, BinaryEdge, menunjukkan terdapat kira-kira 16 juta titik akhir yang terdedah kepada Internet di pelabuhan TCP 3389 dan 3388, yang biasanya dikhaskan untuk RDP.

"RCE pra pengesahan di RDP adalah perjanjian yang cukup besar," tulis Beardsley dalam e-mel. "Walaupun kita sering memberikan nasihat standard tidak mendedahkan RDP ke Internet, banyak yang masih dilakukan (biasanya secara tidak sengaja). Banyak trafik serangan yang kita lihat terhadap RDP nampaknya diarahkan khusus pada sistem titik jualan, jadi saya menjangkakan terdapat beberapa daftar tunai tanpa sokongan dengan RDP yang terdedah kepada internet. "

Sebuah syarikat keselamatan yang berbeza, CyberX, menganalisis lalu lintas dari 850 sistem teknologi operasi, yang digunakan untuk menguruskan talian pengeluaran kilang, pemantauan gas, dan jenis operasi industri lain. Penyelidik mendapati bahawa 53 peratus daripada mereka menjalankan versi Windows yang tidak disokong, kebanyakannya mungkin terjejas oleh kelemahan yang ditemui. Kekurangan menaik taraf berpunca daripada kesukaran mengambil komputer di luar talian dalam persekitaran misi kritikal yang beroperasi secara berterusan. Phil Neray, VP keselamatan siber perindustrian di CyberX yang berpangkalan di Boston, berkata langkah-langkah berhenti untuk syarikat-syarikat ini melaksanakan kawalan pampasan seperti segmentasi rangkaian dan pemantauan rangkaian berterusan.

Versi apa yang terdedah?

Selain Windows 2003 dan XP, CVE-2019-0708 juga memberi kesan kepada Windows 7, Windows Server 2008 R2, dan Windows Server 2008. Dalam bukti keselamatan Microsoft yang semakin meningkat, versi Windows yang lebih lama tidak berisiko.

"Pelanggan yang menjalankan Windows 8 dan Windows 10 tidak terjejas oleh kelemahan ini, dan bukan kebetulan bahawa versi Windows yang lebih lama tidak terpengaruh," tulis Paus. "Microsoft melabur dengan kuat dalam mengukuhkan keselamatan produknya, selalunya melalui penambahbaikan seni bina utama yang tidak mungkin menyokong backport ke versi Windows sebelumnya."

Subteks itu adalah, manakala sesiapa yang masih menggunakan versi Windows yang lemah harus segera patah, langkah jangka panjang yang lebih bijak adalah untuk menaik taraf ke Windows 8 atau 10 dalam masa terdekat.

Microsoft mengiktiraf Pusat Keselamatan Siber Nasional UK untuk melaporkan kerentanan secara peribadi. Walaupun Microsoft berkata ia tidak mematuhi apa-apa eksploitasi di alam liar, ia tetap tidak jelas dengan jelas bagaimana kerentanan ini lama dan yang teruk ini hanya dikenal pasti sekarang.

"Ia membuat seseorang bertanya, bagaimana mereka mendapatinya di tempat pertama?" Kata Bartholomew dari Kaspersky Lab, Bartholomew. "Adakah mereka melihat ini dalam serangan di tempat lain? Adakah ini eksploitasi lama yang digunakan oleh kerajaan-kerajaan mesra pada masa lalu dan ia berjalan sekarang? Adakah eksploit ini bocor entah bagaimana dan mereka sedang proaktif? Sudah tentu, kita mungkin tidak akan pernah tahu jawapan sebenar, dan secara jujur ​​ia semua spekulasi pada masa ini, tetapi mungkin terdapat sesuatu di sini untuk digali. "

Siarkan dikemas kini untuk menambah komen daripada Beardsley Rapid7.

Tonton video itu: Al-Qaeda di Yemen ugut lancar serangan baru (Disember 2019).