Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Bluekeep. Zaczęli exploitować krytyczną podatność w Windowsowym RDP. Zagłada za 3…2…hmmm
Podatność o której pisaliśmy parę miesięcy temu dotyka wprawdzie Windowsa 7 (i niższych), ale umożliwia bez żadnej interakcji ofiary na otrzymanie pełnego dostępu administracyjnego na atakowanej maszynie. Sytuację pogarsza fakt, że w Metasploicie od jakiegoś czasu gotowy jest exploit na lukę.
Tymczasem ktoś rzeczywiście zaczął atakować systemy dostępne z Internetu (do skutecznego ataku wymagane jest otwarcie RDP na świat). Czy czeka nas zagłada? (podatność umożliwia na przygotowanie robaka, który sam dalej się replikuje – tj. po instalacji szuka kolejnych celów – atakuje je, i cykl się powtarza). Na ten moment na szczęście nie – wykryty atak nie ma funkcji samoreplikowania się, jest też stosunkowo niegroźny (poza ew. wywołaniem efektu Blue Screen jeśli coś się nie powiedzie) – instaluje „tylko” koparkę kryptowalut na atakowanym systemie.
–ms
A jak mówię że RDP nie powinno być dostępne bezpośrednio w sieci to traktują mnie jak oszołoma…
„Pan Mietek od xxx powiedział ze pan zdziwisz i ze zawsze tak robią… A pan to nas na koszty chcesz naciągnąć „
Idioci forwarduja port na WANie dla RDP. Żeby było zabawnie nawet nie zmieniają numeru. Dodamy do tego włączony ICMP no i atak pewny. Drogi Adminie pamiętaj VPN.
tak przy okazji, jak zidentyfikować po ruchu sieciowym działalność koparek kryptowalut.