DejaBlue: Bagong Mga Kulay na Kulay na BlueKeep-ibig sabihin Kailangan mong I-update ang Windows Ngayon


Para sa mga buwan, mga sistema Ang mga administrador ay nakikipag-racing upang i-patch ang kanilang mga Windows system laban sa BlueKeep, isang kritikal na kahinaan sa Remote Desktop ng Microsoft na maaaring paganahin ang isang global, chewing worm sa internet kung hindi naayos sa daan-daang libong mga mahina na computer. Ang worm na iyon ay hindi pa dumating. Ngunit ngayon, itinakda ng Microsoft ang orasan sa karera na iyon, na inilalantad ang isang koleksyon ng mga bagong kahinaan sa RDP, dalawa sa mga ito ay maaari ring magresulta sa parehong uri ng pandaigdigang bulate – at sa oras na ito sa mga mas bagong bersyon ng Windows.

Binalaan ngayon ng Microsoft ang mga gumagamit ng Windows ng pitong bagong kahinaan sa Windows na, tulad ng BlueKeep, ay maaaring mapagsamantala sa pamamagitan ng RDP, isang tool na nagbibigay-daan sa mga administrador na kumonekta sa ibang mga computer sa isang network. Sa mga pitong bug na iyon, binibigyang diin ng advisory ng Microsoft na ang dalawa ay partikular na seryoso; tulad ng BlueKeep, maaari silang magamit upang mag-code ng isang awtomatikong uod na tumalon mula sa makina hanggang sa makina, na potensyal na makahawa sa milyun-milyong mga computer. Tulad ng direktor ng Security Response Center ng Microsoft ng insidente na tugon Si Simon Pope ay nagsusulat, "anumang anumang hinaharap na malware na nagsasamantala sa mga ito ay maaaring magpalaganap mula sa mahina na computer sa mahina na computer nang walang pakikipag-ugnayan ng gumagamit."

"Ito ay nagsisimula sa lahat muli."

Rob Graham, Security ng Errata

Hindi tulad ng BlueKeep, gayunpaman, ang mga bagong bug-kalahating biro na pinangalanang DejaBlue ng mga security mananaliksik na sinusubaybayan ito – ay hindi lamang nakakaapekto sa Windows 7 at mas maaga, tulad ng ginawa ng naunang kahinaan ng RDP. Sa halip, nakakaapekto ito sa Windows 7 at higit pa, kabilang ang lahat ng mga kamakailang bersyon ng operating system.

Si Marcus Hutchins, isang security researcher na malapit na sumunod sa mga kahinaan sa RDP at naka-code ng isang tool na proof-of-concept para sa pagsasamantala sa BlueKeep, sinabi na maaaring mayroong mas maraming makina na masugatan sa DejaBlue kaysa sa BlueKeep. Sa puntong ito, halos bawat kontemporaryong computer ng Windows ay kailangang mag-patch, bago pa mababalik ng mga hacker ang engineer sa mga pag-aayos para sa mga pahiwatig na maaaring makatulong na lumikha ng mga pagsamantala.

"Ang mga taong hindi na-upgrade mula pa man magpakailanman ay maaaring maging isang maliit na mas ligtas mula rito, ngunit mayroong isang mas malaking pool ng mga computer na masugatan dito, akala ko," sabi ni Hutchins. "Siyempre, kung isinasaalang-alang mo rin ang BlueKeep, pagkatapos ay isasama lamang nito ang problema."

Hindi tulad ng BlueKeep, na ang pagtuklas na na-kredito ng Microsoft sa British ahensya ng intelihensya na GCHQ, sinabi ng Microsoft na natagpuan at na-patch ito ng mga bagong bug mismo. "Ang mga kahinaan na ito ay natuklasan ng Microsoft sa panahon ng pagpapatigas ng Mga Serbisyo sa Remote Desktop bilang bahagi ng aming patuloy na pagtuon sa pagpapalakas ng seguridad ng aming mga produkto," sabi ni Microsoft. "Sa oras na ito, wala kaming katibayan na ang mga kahinaan na ito ay kilala sa anumang ikatlong partido." Hindi agad tumugon ang Microsoft sa isang kahilingan para sa komento.

Dahil ang BlueKeep ay inihayag sa publiko sa Mayo 14, ang industriya ng seguridad ay naghimok ng mga gumagamit upang mag-patch na may halo-halong mga resulta: Bilang isang bilang noong nakaraang buwan, sa isang lugar sa pagitan ng 730,000 at 800,000 mga computer na nanatiling mahina laban sa BlueKeep. Si Rob Graham, isang security researcher at tagapagtatag ng Errata Security, ay nagtayo ng isang scanner upang masukat ang bilang ng mga makina na masugatan sa BlueKeep noong Mayo at sa una ay natagpuan ang halos isang milyong mahina na makina. Tinatantya niya ngayon na ang bilang ng mga makina na mahina sa mga bagong RDP bug ay malamang sa parehong ballpark. "Nagsisimula na itong muli," sabi ni Graham.

Tinukoy ni Graham, gayunpaman, na ang isang setting na tinatawag na Network-Level Authentication sa Windows machine ay humadlang sa bagong hanay ng mga bug mula sa pagsasamantala. Sa kanyang mga nakaraang pag-scan, natagpuan niya ang isang kabuuang 1.2 milyong mga computer sa Windows na pinagana ang setting na iyon. Ngunit hindi malinaw kung aling mga bersyon ng Windows ang mga computer na tumatakbo, o kung gaano karaming iba pang mga makina ang hindi naka-on ang NLA.

Ang magandang balita ay ang Windows ay nag-aalok ng mga pag-update ng auto sa pamamagitan ng default; ang mga pinagana ng tampok na iyon ay dapat na saklaw sa lalong madaling panahon, kung hindi pa. Gayunpaman, ang sinumang naka-off na, ay dapat na i-on ngayon ang NLA, at mag-download ng isang patch laban sa mga bagong RDP bug dito.

Nang unang lumitaw ang BlueKeep, binigyan ng babala ng mga mananaliksik sa seguridad at kahit na mismo ang Microsoft na maaari itong maisama sa isang laganap na uod sa loob lamang ng mga linggo na maaaring maging seryoso tulad ng WannaCry o NotPetya, dahil ang mga nakakahamak na hacker ay lumipat nang mas mabilis kaysa sa malawak na bilang ng mga masusugatan na gumagamit na kailangang mag-patch . Tatlong buwan na mula nang lumipas na walang bulate sa paningin, bagaman mas maraming mga stealthy hacker na maaaring mai-hack ang RDP nang lihim, na-target na pag-atake. Ang kawalan ng inaasahang uod, sabi ng ilang mga mananaliksik, ay dahil sa pagpigil sa bahagi ng komunidad ng pananaliksik ng seguridad, na higit sa lahat ay umiwas sa publiko na naglabas ng mga tool sa pag-hack ng proof-of-concept na nagsasamantala sa BlueKeep. Gayundin, ang ilang mga detalye ay naging pampubliko tungkol sa kung gaano eksaktong gumagana ang BlueKeep, at ang pagbuo ng isang maaasahang panghihimasok batay sa ito ay mukhang nakakagulat.

Ang paggamit ng DejaBlue ay maaaring marginally madali kaysa sa BlueKeep, sabi ni Hutchins, na nagsabi ng pag-cod ng isang BlueKeep pagsasamantala ay naging malapit sa kanya sa isang linggo ng buong-oras na trabaho. Ang mahirap na bahagi, sabi niya, ay nagmamanipula ng memorya ng computer upang pinahihintulutan ng bug ng RDP bug na ang hacker ay magpatakbo ng kanilang sariling code sa halip na mag-crash sa computer. Kapag nag-crash ang DejaBlue sa isang computer, sinabi ni Hutchins, nag-crash lamang ang serbisyo ng RDP sa target na aparato kaysa sa buong makina, na pinapayagan ang isang hacker na may isang hindi mapagkakatiwalaang pagsasamantala upang magamit ito nang mas mahigpit. "Kailangan ng Bluekeep ng ilang uri ng dalubhasang kaalaman," sabi ni Hutchins. "Ito ay tila maaaring magkaroon ng isang mas malaking grupo ng mga taong may kakayahang magsulat ng isang pagsasamantala."

Ang DejaBlue ay maaaring mai-patched nang mas mabilis kaysa sa BlueKeep ay, ang tala ng Hutchins, dahil ang mga gumagamit na may mas bagong mga bersyon ng Windows ay may posibilidad na mag-patch nang mas maaasahan. Sinabi rin ni Hutchins na pagkatapos na mahulaan ang pagdating ng isang uod na BlueKeep bago ngayon, magpipigil siya sa anumang haka-haka. "Ganap na posible ang isang uod para sa ito ay maaaring mas malamang, ngunit hindi namin talaga mahuhulaan kung ano ang gagawin ng mga tao," sabi ni Hutchins. "Gagawin ng mga masasamang tao ang gagawin ng mga masasamang tao."


Marami pang Mahusay na Mga Kwento