Миналата седмица Microsoft достави на потребителите на Windows редовния пакет с обновления за операционната система и свързаните с нея продукти. Сред покритите в майския Patch Tuesday уязвимости присъстваше и решения за сериозна дупка в Windows Remote Desktop Services (RDS), ключов набор от услуги, позволяващ отдалеченото достигане и управление на компютърни системи, известни преди като Terminal Services.

Въпросната уязвимост – CVE-2019-0708 – кръстена BlueKeep, позволява на неоторизирана страна да поеме пълен контрол над устройството без да се изисква действие от страна на потребителя на системата чрез изпращането на специално подготвена заявка към RDS посредством RDP. Самата уязвимост е сходна с уязвимостта в SMB v1, използвана в атаките с WannaCry, по отношение на това, че зловредния код може да се разпространява от система на система самостоятелно.

Microsoft не са компания, която обича да звучи алармистки, но това, че се погрижи за старите системи да получат обновления и сравни проблемът с този, който помогна WannaCry да се разпространи от система на система преди две години, е достатъчен атестат за сериозността на случая.

Дупката присъства във версиите на Windows преди 8 и 10. Засегнати от уязвимостта са Windows 2003, XP, 7, Windows Server и Windows Server R2. Microsoft издаде извънредни обновления към засегнатите версии на Windows.

И за да изглеждат нещата наистина сериозни, вече се появиха в Интернет и работещи експлойти и PoC код, валидиращи дупката и помагащи за нейното експлоатиране. Въпросните експлойти са различни, включително и няколко, които позволяват изпълнението на зловреден код дистанционно. От американската компания за антивирусна защита McAfee съветват засегнатите от уязвимостта потребители да деактивират напълно RDP, тъй като въпросният експлойт (поне, който те са разработили) не работи на система с изключен RDP.

Ако използвате Windows 7, то е много вероятно вече да сте наложили публикуваното от Microsoft обновление. Ако не сте, то го направете още днес, защото подобна уязвимост звучи изключително привлекателно за киберпрестъпниците. Някои специалисти обаче обръщат внимание на това, че има системи, чието обновяване е трудно, ако не и невъзможно, поради спецификата на управляваните от тях ресурси. Като например индустриални системи.

CyberX, компания, оперираща в сферата на индустриалната киберсигурност са анализирали наскоро трафика, идващ от над 850 оперативни технологични мрежи и са открили, че 53% от индустриалните обекти все още работят с вече неподдържани от Microsoft версии на Windows, което означава, че много от тях са уязвими на атаки чрез експлойт за уязвимостта. „Проблемът се крие в това, че налагането на обновления към компютри, намиращи се в средата на индустриални мрежи представлява огромно предизвикателство, тъй като те оперират 24 часа в денонощието, седем дни в седмицата, контролирайки мащабни физически процеси, като рафинирането на петрол или производството на електроенергия“, обясняват от компанията.