Администраторы корпоративных сетей близки к устранению угрозы BlueKeep. Как сообщил эксперт Microsoft Threat Protection Равив Тамир (Raviv Tamir), на прошлой неделе количество пропатченных систем на глобальном уровне превысило 83%.

Данные собирали с применением мониторинговой консоли Microsoft Defender ATP, представленной в первую годовщину Windows 10. Эта платформа объединяет потоки информации с разных участков инфраструктуры, позволяя централизованно контролировать процессы ИБ. Представители Microsoft, в свою очередь, получают возможность отслеживать глобальные тенденции угроз безопасности по данным, которые получают от заказчиков.

Тамир уже несколько раз привлекал внимание администраторов Windows к заплаткам, которые защищают корпоративные сети от BlueKeep. В конце мая, через две недели после выхода патча, эксперт сообщил, что его установили чуть более чем на половине уязвимых машин. По оценкам аналитиков, под угрозой оставался как минимум миллион хостов. К этому моменту Microsoft выпустила уже два сообщения об уязвимости, а специалисты по безопасности смогли на практике убедиться в опасности бага.

Через неделю доля обновленных систем превысила 72%. Теперь эксперты могут с осторожностью говорить о победе над BlueKeep, хотя, как Тамир подчеркнул в своем последнем сообщении, администраторам следует продолжать распространение патча на всех системах.

Сразу после обнаружения специалисты сравнивали вредоносный потенциал BlueKeep с уязвимостью EternalBlue, которая спровоцировала глобальную эпидемию WannaCry и продолжает доставлять проблемы по сей день. Как и баг 2016 года, BlueKeep позволяет злоумышленникам автоматически поражать целые инфраструктуры без предварительной авторизации.

По мнению некоторых экспертов, даже с преодолением отметки в 83% пропатченных систем угроза не теряет актуальности, особенно учитывая, что в эту цифру входят лишь пользователи Microsoft Defender ATP. Как признал и сам Тамир, уязвимыми могут оставаться несколько миллионов устройств по всему миру (в первую очередь в Китае и США).

Специалисты затрудняются определить, что это за компьютеры и почему их до сих пор не обновили. Эти хосты могут представлять медицинское оборудование или системы, которые по тем или иным причинам выпали из планов по установке патчей. Кроме того, администраторы уязвимых машин могут использовать дополнительные меры безопасности вроде включенной аутентификации по определенному порту.

Даже при ограничении внешнего доступа к уязвимым хостам злоумышленники могут воспользоваться багом для перемещения по инфраструктуре, а первоначальное проникновение провести через другую точку. Именно поэтому, пока BlueKeep присутствует в каких-либо системах, эксперты призывают не списывать угрозу со счетов.

Категории: Аналитика, Кибероборона