Microsoft’un BlueKeep için yayınladığı yamayı analiz eden Sophos araştırmacıları, olası bir BlueKeep saldırısının ne kadar ciddi sonuçlara yol açabileceğini gösteren bir kanıt yayınladı.
Sophos, Mayıs ayında raporlanan ve BlueKeep olarak bilinen CVE-2019-0708 açığına dair gerekli yamaların yapılmaması halinde sistemlerin ne kadar büyük bir risk altında kalacağını gösteren bir çalışma yayınladı. BlueKeep, saldırganların Uzak Masaüstü Protokolü (Remote Desktop Protocol – RDP) aracılığıyla hedef sistemlerde diledikleri komutu çalıştırmalarını, böylece zararlı yazılım yüklemekten verilere değiştirmeye kadar pek çok eylemi gerçekleştirebilmelerini sağlıyor.
BlueKeep, 2017 yılındaki WannaCry fidye yazılımı saldırısında kullanılan EternalBlue ile kıyaslanabilecek hızda yayılabilme potansiyeline sahip. Halen dünya genelinde yaygın olarak kullanılan Windows XP, Windows 7, Windows Server 2003 ve Windows Server 2008 işletim sistemlerini etkileyen tehdidin ortaya koyduğu risk o kadar büyüktü ki, Microsoft desteğini yıllar önce sonlandırmasına rağmen bu işletim sistemleri için Mayıs ayında özel bir BlueKeep yaması yayınlama kararı aldı. Ardından Microsoft’un yanı sıra Amerikan Ulusal Güvenlik Ajansı (NSA) gibi kurumlar söz konusu yamaların bir an önce sistemlere uygulanması gerektiğine dair defalarca uyarıda bulundu.
Henüz BlueKeep açığını kullanan bir saldırı ortaya çıkmamış olsa da, Sophos’un ortaya koyduğu kanıt böyle bir saldırının neden olabileceği zararı gözler önüne seriyor. Üstelik saldırının gerçekleşmesi için bilgisayar sahibinin herhangi bir müdahalesi de gerekmiyor. Bu durum sistemlerin gizlice takip altına alınmasından fidye saldırılarına, hatta ağdaki tüm bilgilerin tamamen silinmesine kadar pek çok olasılığı beraberinde getiriyor.
Sophos güvenlik uzmanları, olası bir BlueKeep saldırısından korunmak için ilgili yamaların vakit kaybetmeden yüklenmesi gerektiğine dikkat çekiyor. Ayrıca ihtiyaç olmayan sistemlerde RDP’nin devre dışı bırakılmasını, gerektiğinde dahili RDP sunucusuna mutlaka VPN aracılığıyla bağlanılmasını ve RDP servisinin çalıştığı makinelere erişimi olan kullanıcı hesaplarında çok adımlı doğrulama sistemlerinin aktif hale getirilmesini tavsiye ediyor.
Detayları BlueKeep PoC Demonstrates Risk of Remote Desktop Exploit makalesinde bulabilirsiniz.