11/11/19
В настоящее время единственным PoC-эксплоитом для печально известной уязвимости BlueKeep является модуль фреймворка Metasploit. Он был собран из PoC-кода, разработанного исследователем компании RiskSense Шоном Диллоном (Sean Dillon) прошлым летом.
Хотя эксплоит и работает, у него есть свои минусы. Вместо того чтобы предоставить атакующему удаленную оболочку, на некоторых системах он вызывает «синий экран смерти» (BSOD). Именно благодаря этой ошибке исследователь безопасности Кевин Бомон (Kevin Beaumont) на прошлой неделе впервые обнаружил признаки эксплуатации BlueKeep в реальных атаках – 10 из 11 его RDP-ханипотов отключились из-за BSOD.
Как сообщил Диллон, причиной проблемы является выпущенный Microsoft патч для уязвимости Meltdown. «Глядя на скриншоты анализа, проведенного Маркусом Хатчинсом, мы видим, что выполнения кода удалось добиться, а ханипоты отключились, поскольку эксплоит не поддерживает ядра с Meltdown», – пояснил Диллон.
Поддержка ядер с установленными патчами для Meltdown будет реализована в будущих версиях модуля. По словам Диллона, модуль BlueKeep Metasploit должен получить исправление ошибки уже на этой неделе. Обновление сделает атаки с использованием эксплоита более устойчивыми, а значит, у злоумышленников также появится больше возможностей для осуществления успешных атак на компании, в чьих сетях есть хотя бы один уязвимый компьютер.
