WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Tấn công BlueKeep làm crash hệ thống do bản vá lỗ hổng Meltdown
Các cuộc tấn công gần đây khai thác lỗ hổng BlueKeep để phát tán công cụ khai thác tiền điện tử đã làm crash một số hệ thống do bản vá Meltdown đang được triển khai trên máy mục tiêu.
Lỗ hổng BlueKeep (CVE-2019-0708) ảnh hưởng đến Windows Remote Desktop Services (RDS) và cho phép kẻ tấn công không được xác thực thực thi mã tùy ý bằng cách gửi các yêu cầu Remote Desktop Protocol (RDP) tự tạo đặc biệt. Microsoft đã phát hành bản vá, bao gồm cả các phiên bản Windows không được hỗ trợ, vào tháng 5.
Các cuộc tấn công BlueKeep sử dụng một bộ khai thác dựa trên mô-đun Metasploit được phát hành vào tháng 9. Trong khi những kẻ tấn công cố gắng phát tán công cụ khai thác tiền điện tử Monero, bộ khai thác khiến nhiều hệ thống mục tiêu gặp tình trạng crash, giúp các nhà nghiên cứu phát hiện ra các cuộc tấn công.
Nhà nghiên cứu Sean Dillon, còn được gọi là zerosum0x0, một trong những nhà phát triển mô-đun BlueKeep Metasploit, đã tiến hành phân tích và xác định rằng việc khai thác có thể khiến các thiết bị bị crash do sự hiện diện của lỗ hổng Meltdown. Dillon cho biết khai thác BlueKeep của ông không được cài bản vá Meltdown, đó là lý do tại sao ông không thấy được tình trạng crash.
Trong khi đó, honeypot của Kevin Beaumont bắt được các nỗ lực khai thác BlueKeep. Ông cho biết đã triển khai nhiều cảm biến hơn, bao gồm cả các cảm biến được cấu hình để khai thác ổn định hơn. Tuy nhiên, ông đã ngừng thấy các cuộc tấn công từ 3 ngày trước.
Honeypot của Beaumont bắt đầu gặp tình trạng crash vào ngày 23 tháng 10, nhưng ông chỉ nhận ra rằng crash là do các nỗ lực khai thác của BlueKeep vào ngày 2/11. Sau khi Beaumont báo cáo các cuộc tấn công, Microsoft thừa nhận đã bắt đầu thấy sự gia tăng của các crash liên quan đến RDP ngay sau khi mô-đun Metasploit được phát hành vào tháng 9.
Microsoft một lần nữa khuyên khách hàng cài đặt các bản vá và cảnh báo rằng việc khai thác có thể cũng sẽ được sử dụng để phát tán các trọng tải có tác động phá hoại lớn hơn.
Trong khi Microsoft và nhiều người khác lo ngại rằng lỗ hổng BlueKeep sẽ được sử dụng để tạo ra worm có tính lây lan, tương tự như bộ khai thác EternalBlue được sử dụng bởi ransomware WannaCry vào năm 2017, các cuộc tấn công gần đây không liên quan đến thành phần tự lan truyền.
Tuy nhiên, Marcus Hutchins, còn gọi là MalwareTech, nhà nghiên cứu người Anh đã giúp Microsoft và Beaumont phân tích các cuộc tấn công BlueKeep, chỉ ra rằng những kẻ tấn công không cần tạo ra worm để khởi động các cuộc tấn công.
Hầu hết các thiết bị tồn tại lỗ hổng BlueKeep là các máy chủ. Nói chung, máy chủ Windows có khả năng điều khiển các thiết bị trên mạng. Các máy chủ là quản trị viên tên miền, cài đặt các công cụ quản lý mạng hoặc chia sẻ thông tin quản trị viên cục bộ với phần còn lại của mạng, Hutchins giải thích.
Bằng cách thỏa hiệp một máy chủ mạng, thì sẽ cực kỳ dễ dang cho việc sử dụng công cụ tự động để tấn công vòng trong (Ví dụ: máy chủ thả ransomware vào mọi hệ thống trên mạng), nhà nghiên cứu cho biết thêm.
Nguy cơ thực sự với BlueKeep không phải là worm. Worm rất vô nghĩa và ồn ào. Một khi kẻ tấn công có mặt trên mạng, chúng có thể gây sát thương lớn hơn nhiều bằng các công cụ tự động so với khi sử dụng BlueKeep, ông Hutchins nói.
Vẫn còn khoảng 700.000 hệ thống dường như vẫn tồn tại lỗ hổng BlueKeep và thực tế là kẻ xấu đã bắt đầu khai thác lỗ hổng dường như không có tác động tích cực nào đến các nỗ lực vá lỗi của người dùng.
Lỗ hổng BlueKeep (CVE-2019-0708) ảnh hưởng đến Windows Remote Desktop Services (RDS) và cho phép kẻ tấn công không được xác thực thực thi mã tùy ý bằng cách gửi các yêu cầu Remote Desktop Protocol (RDP) tự tạo đặc biệt. Microsoft đã phát hành bản vá, bao gồm cả các phiên bản Windows không được hỗ trợ, vào tháng 5.
Các cuộc tấn công BlueKeep sử dụng một bộ khai thác dựa trên mô-đun Metasploit được phát hành vào tháng 9. Trong khi những kẻ tấn công cố gắng phát tán công cụ khai thác tiền điện tử Monero, bộ khai thác khiến nhiều hệ thống mục tiêu gặp tình trạng crash, giúp các nhà nghiên cứu phát hiện ra các cuộc tấn công.
Nhà nghiên cứu Sean Dillon, còn được gọi là zerosum0x0, một trong những nhà phát triển mô-đun BlueKeep Metasploit, đã tiến hành phân tích và xác định rằng việc khai thác có thể khiến các thiết bị bị crash do sự hiện diện của lỗ hổng Meltdown. Dillon cho biết khai thác BlueKeep của ông không được cài bản vá Meltdown, đó là lý do tại sao ông không thấy được tình trạng crash.
Trong khi đó, honeypot của Kevin Beaumont bắt được các nỗ lực khai thác BlueKeep. Ông cho biết đã triển khai nhiều cảm biến hơn, bao gồm cả các cảm biến được cấu hình để khai thác ổn định hơn. Tuy nhiên, ông đã ngừng thấy các cuộc tấn công từ 3 ngày trước.
Honeypot của Beaumont bắt đầu gặp tình trạng crash vào ngày 23 tháng 10, nhưng ông chỉ nhận ra rằng crash là do các nỗ lực khai thác của BlueKeep vào ngày 2/11. Sau khi Beaumont báo cáo các cuộc tấn công, Microsoft thừa nhận đã bắt đầu thấy sự gia tăng của các crash liên quan đến RDP ngay sau khi mô-đun Metasploit được phát hành vào tháng 9.
Microsoft một lần nữa khuyên khách hàng cài đặt các bản vá và cảnh báo rằng việc khai thác có thể cũng sẽ được sử dụng để phát tán các trọng tải có tác động phá hoại lớn hơn.
Trong khi Microsoft và nhiều người khác lo ngại rằng lỗ hổng BlueKeep sẽ được sử dụng để tạo ra worm có tính lây lan, tương tự như bộ khai thác EternalBlue được sử dụng bởi ransomware WannaCry vào năm 2017, các cuộc tấn công gần đây không liên quan đến thành phần tự lan truyền.
Tuy nhiên, Marcus Hutchins, còn gọi là MalwareTech, nhà nghiên cứu người Anh đã giúp Microsoft và Beaumont phân tích các cuộc tấn công BlueKeep, chỉ ra rằng những kẻ tấn công không cần tạo ra worm để khởi động các cuộc tấn công.
Hầu hết các thiết bị tồn tại lỗ hổng BlueKeep là các máy chủ. Nói chung, máy chủ Windows có khả năng điều khiển các thiết bị trên mạng. Các máy chủ là quản trị viên tên miền, cài đặt các công cụ quản lý mạng hoặc chia sẻ thông tin quản trị viên cục bộ với phần còn lại của mạng, Hutchins giải thích.
Bằng cách thỏa hiệp một máy chủ mạng, thì sẽ cực kỳ dễ dang cho việc sử dụng công cụ tự động để tấn công vòng trong (Ví dụ: máy chủ thả ransomware vào mọi hệ thống trên mạng), nhà nghiên cứu cho biết thêm.
Nguy cơ thực sự với BlueKeep không phải là worm. Worm rất vô nghĩa và ồn ào. Một khi kẻ tấn công có mặt trên mạng, chúng có thể gây sát thương lớn hơn nhiều bằng các công cụ tự động so với khi sử dụng BlueKeep, ông Hutchins nói.
Vẫn còn khoảng 700.000 hệ thống dường như vẫn tồn tại lỗ hổng BlueKeep và thực tế là kẻ xấu đã bắt đầu khai thác lỗ hổng dường như không có tác động tích cực nào đến các nỗ lực vá lỗi của người dùng.
Theo Security Week