BlueKeep

מתוך ויקיפדיה, האנציקלופדיה החופשית

BlueKeep היא פגיעת אבטחה שהתגלתה במימוש של פרוטוקול Remote Desktop Protocol) RDP), ומאפשרת הרצת קוד מרחוק.

BlueKeep פורסמה לראשונה במאי 2019 והיא קיימת בכל הגרסאות הלא מבוססות של Windows NT של Microsoft Windows מ-Windows 2000 כולל Windows Server 2008 R2 ו- Windows 7. מיקרוסופט פרסמה תיקון אבטחה (כולל עדכון חריג למספר גרסאות של חלונות שהגיעו לסוף חייהם ולא זכאים לתמיכה, כגון Windows XP) ב־14 במאי 2019.

ב־13 באוגוסט 2019, דווח על פרצות אבטחה אחרות הקשורות ל-BlueKeep, הנקראות ביחד בשם DejaBlue, בגרסאות חדשות יותר של Windows, כולל Windows 7 וכל הגרסאות האחרונות של מערכות ההפעלה ממשפחת Windows, עד מערכת ההפעלה Windows 10. מספר המעקב לו זכתה הפגיעות הוא CVE-2019-0708.

ב־6 בספטמבר 2019 הוכרז על מודול ניצול ראשון של פגיעות האבטחה BlueKeep ששוחרר לשימוש ציבורי ב-Metasploit.

היסטוריה[עריכת קוד מקור | עריכה]

פגיעות האבטחה של BlueKeep צוינה לראשונה על ידי המרכז הלאומי לאבטחת סייבר בבריטניה וב־14 במאי 2019 פורסמה על ידי מיקרוסופט. הפגיעות נקראה כ-BlueKeep על ידי מומחה אבטחת המחשבים קווין ביומונט בטוויטר. מספר המעקב רשמי של BlueKeep הוא:CVE-2019-0708 והיא מוגדרת כפגיעות של הרצת קוד שרירותי מרחוק. הן ה-NSA שהוציאה ייעוץ משלה בנושא הפגיעות ב-4 ביוני 2019 והן מיקרוסופט, הצהירו כי פגיעות זו עשויה לשמש להפצת נוזקות נוספות במערכת.

שבועיים לאחר העדכון הראשוני שהפיצה, הפיצה מיקרוסופט אזהרה שנייה, לאחר שחוקרי אבטחה מצאו אינדיקציות המראות כי לכל הפחות מיליון מכשירים עדיין פגיעים לפגיעות החמורה. במיקרוספוט הזהירו כי מתקפה תאורטית של BlueKeep עשויה להיות בקנה מידה דומה למתקפות הענק שהתבוססו על EternalBlue כמו NotPetya ו-WannaCry[1][2][3].

החל מ-1 ביוני 2019, נראה כי שום תוכנה זדונית פעילה המממשת את הפגיעות לא הייתה ידועה בציבור. עם זאת, ייתכן שהיו קיימים הוכחות היתכנות (Proof of concept) המנצלים את הפגיעות[4]. ב־1 ביולי 2019, Sophos, חברת אבטחה בריטית, הדגימה הוכחת היתכנות של ה-BlueKeep, במטרה להדגיש את הצורך הדחוף לתקן את הפגיעות[5]. ב-22 ביולי 2019 נחשפו לכאורה פרטים נוספים על ניצול הפגיעות על ידי דובר ועידה מטעם חברת אבטחה סינית. ב־25 ביולי 2019 דיווחו מומחי מחשבים כי ייתכן שגרסה מסחרית של הניצול הייתה זמינה. מאוחר יותר, ב־31 ביולי 2019, דיווחו מומחי מחשבים על עלייה משמעותית בפעילות ה-RDP הזדונית והזהירו, על סמך היסטוריה של ניצולים מנקודות תורפה דומות, כי ניצול מעשי של הפגיעות BlueKeep עשוי להיות קרוב[6].

ב־6 בספטמבר 2019 הוכרז על ניצול של פגיעות האבטחה של BlueKeep ששוחררה לשימוש ציבורי ב-Metasploit. עם-זאת, הגרסה הראשונית של ניצול זה הייתה לא מהימנה, והיא ידועה כגורמת לשגיאת "מסך המוות הכחול" (BSOD). מאוחר יותר הוכרז על תיקון שהסיר את הסיבה לשגיאת ה-BSOD בניצול זה.

ב־2 בנובמבר 2019 דווח על קמפיין פריצות BlueKeep הראשון בקנה מידה המוני, אשר כלל משימה לא מוצלחת של כריית מטבעות מבוזרות, בדגש על מטבעות מונרו. מאוחר יותר, ב־8 בנובמבר, אישרה מיקרוסופט שזיהתה מימוש התקפה של BlueKeep, וקראה למשתמשים לתקן מידית את מערכות Windows שלהם.

ב־13 באוגוסט 2019, דווח על פרצות אבטחה הקשורות ל- BlueKeep, אשר זכו לשם DejaBlue בגרסאות חדשות יותר של Windows, כולל Windows 7 וכל שאר הגרסאות של מערכת ההפעלה עד Windows 10[7].

הסבר טכני[עריכת קוד מקור | עריכה]

פרוטוקול RDP משתמש ב"ערוצים וירטואליים", שהוגדרו לפני אימות, כנתיב נתונים בין הלקוח לשרת לאספקת הרחבות. RDP 5.1 מגדיר 32 ערוצים וירטואליים "סטטיים", וערוצים וירטואליים "דינמיים" כלולים באחד מהערוצים הסטטיים הללו. אם שרת קושר את הערוץ הווירטואלי "MS_T120" (ערוץ שאין סיבה לגיטימית עבור לקוח להתחבר אליו, שכן מיקרוסופט משתמשת בו לשימושים פנימיים) עם ערוץ סטטי שאינו 31, מתרחשת השחתת זיכרון המאפשרת הרצת קוד שרירותי ברמת המערכת[8].

Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 ו- Windows Server 2008 R2 הוגדרו על ידי מיקרוסופט כפגיעות להתקפה זו. גרסאות חדשות מ־7, כגון Windows 8 ו- Windows 10, לא הושפעו. הסוכנות לאבטחת סייבר ותשתיות של ארצות הברית הודיעה כי ביצעה בהצלחה גם הרצת קוד באמצעות הפגיעות ב- Windows 2000[9].

תיקון הפגיעות[עריכת קוד מקור | עריכה]

מיקרוסופט פרסמה תיקוני פגיעות ב־14 במאי 2019 ל-Bluekeep, עבור Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 ו- Windows Server 2008 R2. באופן חריג, עדכונים אלו כללו תיקוני פגיעות לגרסאות של Windows שהגיעו לסוף חייהן (כגון Vista, XP ו- windows server 2003) וברמה העקרונית אינן זכאיות עוד לעדכוני אבטחה. התיקון מכריח את ערוץ "MS_T120" הנ"ל להיות מחויב תמיד לערוץ 31 גם אם שרת הRDP מתבקש אחרת.

כמו כן, ה-NSA המליץ על אמצעים נוספים להגנה על ה-RDP, כגון השבתת שירותי שולחן עבודה מרוחק והפורט המשויך אליו (TCP 3389) אם לא משתמשים בו, ודרישת אימות ברמת רשת (NLA) עבור RDP. על פי חברת אבטחת המחשבים Sophos, אימות דו-שלבי עשוי לחזק את אבטחתו של ה-RDP. עם זאת, ההגנה הטובה ביותר היא מניעת הפעלת RDP באינטרנט, כיבוי ה-RDP אם אין צורך, ובמידת הצורך, הפעלת RDP רק דרך VPN[10].

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Catalin Cimpanu, Even the NSA is urging Windows users to patch BlueKeep (CVE-2019-0708), ZDNet (באנגלית)
  2. ^ Dan Goodin, Microsoft practically begs Windows users to fix wormable BlueKeep flaw, Ars Technica, ‏2019-05-31 (באנגלית)
  3. ^ Tom Warren, Microsoft warns of major WannaCry-like Windows security exploit, releases XP patches, The Verge, ‏2019-05-14 (באנגלית)
  4. ^ Davey Winder, Microsoft Issues 'Update Now' Warning To Windows Users, Forbes (באנגלית)
  5. ^ rew Br, t, BlueKeep PoC demonstrates risk of Remote Desktop exploit, Sophos News, ‏2019-07-01 (באנגלית)
  6. ^ Microsoft dismisses new Windows RDP ‘bug’ as a feature, Naked Security, ‏2019-06-06 (באנגלית)
  7. ^ "New BlueKeep-Style Bugs Renew the Risk of a Windows Worm". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-2020-10-03.
  8. ^ RDP Stands for "Really DO Patch!" – Understanding the Wormable RDP Vulnerability CVE-2019-0708, McAfee Blogs, ‏2019-05-21 (באנגלית)
  9. ^ Liam Tung, Homeland Security: We've tested Windows BlueKeep attack and it works so patch now, ZDNet (באנגלית)
  10. ^ RDP exposed: the wolves already at your door, Naked Security, ‏2019-07-17 (באנגלית)
אוחזר מתוך "https://he.wikipedia.org/w/index.php?title=BlueKeep&oldid=38514554"