Přibližně před 2 roky vypukla jedna z největších epidemií, kdy se začal masivně šířit ransomware WannaCry. Výsledkem bylo, že se na monitoru z ničeho nic zobrazilo okno vyžadující výpalné za zašifrované soubory. Ke spuštění havěti přitom došlo bez součinnosti uživatele a to díky zranitelnosti EternalBlue. Nyní tu máme novou zranitelnost podobného charakteru BlueKeep, tudíž historie se může opakovat…

Tehdy…

Ještě pro připomenutí, epidemie WannaCry byla tehdy tak masivní, že projevy byly patrné i na digitálních billboardech a v letištních halách.

I s přihlédnutím na fakt, že i dva roky po vypuknutí WannaCry máme na internetu 1 milion počítačů (!!!) bez záplaty proti EternalBlue (shodan.io), resp. fungujících na starém protokolu SMB v1, představuje objev zranitelnosti BlueKeep potenciální problém.

Teď…

Zranitelnost BlueKeep se netýká SMB protokolu (případ EternalBlue), ale rovnou RDP – Remote Desktop Protocol (Remote Desktop Services). Tahle služba se používá pro vzdálenou správu a tak je častým jevem, že port TCP 3389, na němž poslouchá, je přístupný z internetu. A bez patřičné záplaty je každý takový stroj v ohrožení. Podle služby Shodan je takových počítačů viditelných z internetu přes 2 miliony! Útok vedeny přes BlueKeep může mít přitom charakter internetového červa (worm), takže havěť se může sama množit mezi počítači, které jsou viditelné z internetu, či v rámci lokálních sítí firem, instituci, …

Vážností situace si je vědoma i společnost Microsoft a tak vydala záplaty i pro dávno nepodporované systémy Windows XP a Windows 2003. Aktualizace jsou dostupné i pro Windows 7, Windows Server 2008 R2 a Windows 2008. Windows 8 a 10 nejsou touto zranitelností postiženy.

Závěrečná doporučení

  • Záplatujte! Mějte povolenu automatickou aktualizaci (více v PDF knizenově k dostání i v tištené podobě s tričkem).
  • Nepoužívejte staré řady Windows. Vše starší než Windows 7 je špatně!
  • Více o BlueKeep lze najít pod ID CVE-2019-0708 a to například přímo u Microsoftu.
  • Port TCP 3389 by neměl být otevřen z internetu. Když už, tak na omezenou skupinu IP adres, případně by měl být „schován“ za VPN spojením.


4 komentáře » for Tehdy EternalBlue s WannaCry, teď BlueKeep s ?
  1. Libor napsal:

    Nikde nemůžu najít, jestli je ohrožen Windows Home Server 2011? Měl by být postaven na Serveru 2008 R2, takže snad ne?

    • haha napsal:

      Asi malo hledas, a kdyz uz nenachazis, staci si najit odpovidajici zaplatu a nainstalovat ji. Pokud nemas podporovany OS, tak ji nenainstalujes, pokud ano, tak ji nainstalujes. Jednoduche ne?

      • Libor napsal:

        Ano, tohle je přesně odpověď, která mně pomůže. Když hledám přes záplatu, Home Server 2011 to nenabídne, on tvrdí, že je aktuální, ale v historii tu záplatu nevidím, přitom ale pro 2008 R2 existuje.
        Fakt nechápu, že i na tomto serveru jsou lidi, kteří mají potřebu si jen honit triko, ale že by opravdu pomohli (link?) to ne.

        • igi napsal:

          Možná že kecám, ale všude vidím jen zprávy o ukončení podpory v roce 2017, takže je možný, že záplata není. Tak jestli to máte někde doma a není RDP ven, tak by to asi nemusel být takový problém.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..