- BlueKeep - это серьезная ошибка безопасности в Службах удаленного рабочего стола Microsoft, которая позволяет хакерам удаленно управлять уязвимыми системами.
- Разработчики Metasploit выпустили первый работающий прототип кода эксплойта с возможностями выполнения полезной нагрузки.
- Bitdefender просматривает недавно выпущенный код эксплойта Bluekeep, а гипервизор Introspection предотвращает эту атаку
В прошлую пятницу следователи безопасности работают над проектом Metasploit выпустил первый операционный код для выполнения кода в системах, уязвимых для BlueKeep. Эта серьезная уязвимость, которая затрагивает службы удаленных рабочих столов Microsoft был впервые указан как CVE-2019-0708 в мае 2019. В мае 14 Microsoft начала выпускать исправления для уязвимых операционных систем Windows.
Эксплойт еще не надежен в 100% при удаленном выполнении кода. Целевые системы могут столкнуться с BSOD во время выполнения полезной нагрузки. Тем не менее, он достаточно надежен, чтобы подтвердить, что защита ядра Bitdefender Hypervisor Introspection (HVI), выпущенная 2017, по существу победила BlueKeep. В то время уязвимость и эксплуатация не были известны общественности, и их можно было бы предотвратить как день 0.
Почему BlueKeep так опасен?
BlueKeep - один из тех серьезных недостатков безопасности, которые считаются «отвратительными». Эти уязвимости обычно являются ошибками в широко используемых сервисах операционная система которые обычно подвергаются воздействию внешнего мира системными администраторами и разрешены бригады безопасности, Хакеры хотят использовать уязвимости, обнаруженные в широко распространенных сервисах, для максимизации и автоматизации их атак. Что еще хуже, успешные атаки получают полный контроль над системой, поскольку эксплуатируемый компонент RDP является драйвером ядра Windows.
В последние годы было несколько громких агрессивных атак. это WannaCry является довольно недавней высокопрофильной атакой червя, которая использует уязвимость EternalBlue для распространения вымогателей. За несколько месяцев до посещения WannaCry мы писали о том, как самоанализ Bitdefender Hypervisor превзошел эксплойт EternalBlue.
Как Hypervisor Introspection предотвращает эксплуатацию?
Introspection Hypervisor Introspection (HVI) компании Bitdefender - это современная технология защиты от эксплуатации, использующая API-интерфейсы Virtual Machine Introspection, встроенные в современные гипервизоры, для мониторинга всей рабочей площади памяти. VM, Это позволяет технологии сосредоточиться на выявлении методы атаки во время работы с памятью, а не поиск предыдущего поведения. Hypervisor Introspection не требует предварительных знаний об уязвимости или ее местонахождении и не требует предварительного знания кода эксплойта.
Ядро эксплуатирует как BlueKeep (и EternalBlue) требовать осторожных действий, чтобы получить доступ к API операционной системы. Когда начальное выполнение кода получено, эксплойт мало что может сделать без вызова функций операционной системы, так как он работает в произвольной среде, которая деактивирует или приводит к сбою системы. Чтобы «мигрировать» в известную среду, вредоносная программа попытается заблокировать оператор SYSCALL ОС. Hypervisor Introspection отслеживает структуры ядра операционной системы, включая спецификации конкретных моделей. CPU / ЦЕНТРАЛЬНЫЙ ПРОЦЕССОР, предотвращая злонамеренные изменения. Таким образом, Introspection Hypervisor обеспечивает общую защиту для целых категорий атак, основанных на одной и той же технике эксплуатации.
Hypervisor Introspection доступен сегодня для сред Citrix Hypervisor и является частью программы технического предварительного просмотра для организаций, использующих гипервизор KVM.