Выпущен код эксплойта Bluekeep

• BlueKeep - это серьезная ошибка безопасности в Службах удаленного рабочего стола Microsoft, которая позволяет хакерам удаленно управлять уязвимыми системами.
• Разработчики Metasploit выпустили первый работающий прототип кода эксплойта с возможностями выполнения полезной нагрузки.
• Bitdefender просматривает недавно выпущенный код эксплойта Bluekeep, а гипервизор Introspection предотвращает эту атаку

В прошлую пятницу следователи безопасности работают над проектом Metasploit выпустил первый операционный код для выполнения кода в системах, уязвимых для BlueKeep. Эта серьезная уязвимость, которая затрагивает службы удаленных рабочих столов Microsoft был впервые указан как CVE-2019-0708 в мае 2019. В мае 14 Microsoft начала выпускать исправления для уязвимых операционных систем Windows.

Эксплойт еще не надежен в 100% при удаленном выполнении кода. Целевые системы могут столкнуться с BSOD во время выполнения полезной нагрузки. Тем не менее, он достаточно надежен, чтобы подтвердить, что защита ядра Bitdefender Hypervisor Introspection (HVI), выпущенная 2017, по существу победила BlueKeep. В то время уязвимость и эксплуатация не были известны общественности, и их можно было бы предотвратить как день 0.

Почему BlueKeep так опасен?

BlueKeep - один из тех серьезных недостатков безопасности, которые считаются «отвратительными». Эти уязвимости обычно являются ошибками в широко используемых сервисах операционная система которые обычно подвергаются воздействию внешнего мира системными администраторами и разрешены бригады безопасности, Хакеры хотят использовать уязвимости, обнаруженные в широко распространенных сервисах, для максимизации и автоматизации их атак. Что еще хуже, успешные атаки получают полный контроль над системой, поскольку эксплуатируемый компонент RDP является драйвером ядра Windows.

В последние годы было несколько громких агрессивных атак. это WannaCry является довольно недавней высокопрофильной атакой червя, которая использует уязвимость EternalBlue для распространения вымогателей. За несколько месяцев до посещения WannaCry мы писали о том, как самоанализ Bitdefender Hypervisor превзошел эксплойт EternalBlue.

Как Hypervisor Introspection предотвращает эксплуатацию?

Introspection Hypervisor Introspection (HVI) компании Bitdefender - это современная технология защиты от эксплуатации, использующая API-интерфейсы Virtual Machine Introspection, встроенные в современные гипервизоры, для мониторинга всей рабочей площади памяти. VM, Это позволяет технологии сосредоточиться на выявлении методы атаки во время работы с памятью, а не поиск предыдущего поведения. Hypervisor Introspection не требует предварительных знаний об уязвимости или ее местонахождении и не требует предварительного знания кода эксплойта.

Ядро эксплуатирует как BlueKeep (и EternalBlue) требовать осторожных действий, чтобы получить доступ к API операционная система. Когда исходный код выполнения получен, эксплойт не может многое сделать без вызова функций операционной системы, поскольку он выполняется в произвольной среде, которая деактивирует или приводит к сбою системы. Чтобы «мигрировать» в известную среду, вредоносный код попытается заблокировать оператор ОС SYSCALL. Hypervisor Introspection отслеживает основные структуры операционной системы, включая конкретные спецификации моделей CPU , предотвращая злонамеренные изменения. Таким образом, Introspection Hypervisor обеспечивает общую защиту для целых категорий атак, основанных на одной и той же технике эксплуатации.

Hypervisor Introspection доступен сегодня для сред Citrix Hypervisor и является частью программы технического предварительного просмотра для организаций, использующих гипервизор KVM.