Специалисты по информационной безопасности оценили количество доступных онлайн устройств с непропатченной уязвимостью BlueKeep (CVE-2019-0708). По мнению экспертов, под угрозой находится не менее 950 тыс. машин. Эксплойты для удаленного выполнения стороннего кода через этот баг пока не опубликованы, однако аналитики отмечают рост числа сканов, нацеленных на выявление систем с открытым RDP-портом.

Для того чтобы определить количество уязвимых устройств, ИБ-специалисты применили утилиту masscan, предназначенную для поиска доступных в Сети TCP-портов. Как выяснили исследователи, в данный момент в Интернете насчитывается более 7 млн машин, использующих порт 3389, на котором обычно работает RDP-служба.

Несмотря на столь внушительную цифру, не все хосты оказались уязвимыми к атакам BlueKeep. Как отмечают исследователи, среди выдачи довольно много «мусора», а также компьютеров с RDP-доступом, не использующих Windows. Тем не менее, повторный анализ полученных результатов позволил выявить следующее:

  • Примерно на 1,4 млн Windows-устройств уже установлен патч, решающий проблему.
  • Более 1,2 млн компьютеров требуют предварительной аутентификации для доступа к порту 3389 и могут считаться частично защищенными.
  • В 82 тыс. случаев на этом порту работает не RDP, а HTTP.
  • Почти 950 тыс. компьютеров уязвимы к атакам через BlueKeep.

Специалисты призывают владельцев непропатченных устройств срочно установить апдейты, выпущенные Microsoft в рамках майского вторника патчей, или заблокировать RDP-доступ. По мнению экспертов, в данный момент массовые атаки с применением BlueKeep останавливает лишь отсутствие общедоступного эксплойта. О разработке PoC для этой уязвимости заявила «Лаборатория Касперского» и другие ИБ-компании, однако эксперты не разглашают технические детали, чтобы не провоцировать киберпреступников.

Как утверждают аналитики компании GreyNoise, как минимум одна преступная группировка начала сканирование Интернета с целью поиска уязвимых систем. В данный момент целевые запросы исходят лишь с внешних узлов сети Tor, однако эксперты предполагают, что это может быть первым этапом массовой вредоносной кампании.

Категории: Уязвимости