블루킵

BlueKeep
"Deja Blue"는 여기서 리다이렉트 됩니다.생수 브랜드는 Deja Blue를 참조하십시오.
BlueBEEP와 혼동하지 마십시오.
블루킵
BlueKeep logo.svg
취약점을 위해 만들어진 로고. 성 요새화된 타워가 특징입니다.
CVE 식별자CVE-2019-0708
패치가 적용된 날짜2019년 5월 14일, 3년 전(2019-05-14)[1]
디스커버영국 국가 사이버 보안 센터[2]
해당 소프트웨어Windows 8 이전 버전의 Microsoft Windows

BlueKeep(CVE-2019-0708)는 Microsoft의 RDP(Remote Desktop Protocol) 구현에서 발견된 보안 취약성으로, 이를 통해 원격 코드가 실행될 수 있습니다.

2019년 5월에 처음 보고된 이 버전은 Windows 2000에서 Windows Server 2008 R2Windows 7에 이르기까지 패치되지 않은 모든 Microsoft Windows 버전에 있습니다.마이크로소프트는 2019년 5월 14일 보안 패치(Windows XP와 같이 수명이 다한 여러 버전의 Windows에 대한 대역 외 업데이트 포함)를 발표했습니다.2019년 8월 13일, DejaBlue라는 이름의 관련 BlueKeep 보안 취약성은 이전 버전의 Windows뿐만 아니라 Windows 7과 Windows 10까지의 모든 최신 버전의 운영 체제에 영향을 미치는 [3]으로 보고되었습니다.2019년 9월 6일, 웜 가능한 BlueKeep 보안 취약성에 대한 메타스플로이트의 공격이 [4]공개되었다고 발표되었습니다.

역사

BlueKeep 보안 취약성은 UK National Cyber Security[2] Center에 의해 처음 발견되었으며 2019년 5월 14일 Microsoft에 의해 보고되었습니다.이 취약성은 컴퓨터 보안 전문가 Kevin Beumont가 트위터에서 BlueKeep로 명명했습니다.BlueKeep는 공식적으로 CVE-2019-0708로 추적되며 " 가능한" 원격 코드 실행 [5][6]취약성입니다.

미국 국가 안보국(는 취약성을 6월 4일 2019년에 자신들의 주의보를 발령해)[7]과 마이크로 소프트는 이 취약성 잠재적으로self-propagating 벌레에게, 마이크로 소프트와(보안 연구원의 추정이 거의 백만명의 장치 취약한 상태였다에 근거한) 그러한 이론적 atta 말 사용될 수 있다고 말했다.ckNotPetya[8][9][7]WannaCry와 같은 EternalBlue 기반 공격과 비슷한 규모일 수 있습니다.

NSA 어드바이저리 당일 CERT Coordination Center 연구진은 RDP 네트워크 레벨 인증(NLA) 로그인 자격 증명이 클라이언트 시스템에 캐시되어 사용자가 RD에 다시 액세스할 수 있는 새로운 동작을 예로 들어 Windows 2019 May 10 UpdateWindows Server 2019에서 별도의 RDP 관련 보안 문제를 발표했습니다.네트워크 접속이 중단되면 P 접속이 자동으로 이루어집니다.Microsoft는 이 취약성을 의도된 동작으로 간주하여 그룹 정책[10]통해 비활성화할 수 있습니다.

2019년 6월 1일 현재 이 취약성에 대한 활성 멀웨어가 공개적으로 알려진 것은 없지만 이 취약성을 이용하는 미공개 개념 증명(PoC) 코드를 사용할 수 있을 [8][11][12][13]수 있습니다.2019년 7월 1일,[14][15][16] 영국의 보안 회사인 Sophos는 취약성에 대한 긴급한 패치 적용 필요성을 강조하기 위해 이러한 PoC의 실행 예를 보고했다.2019년 7월 22일, 중국 보안 [17]회사의 컨퍼런스 스피커에 의해 더 자세한 공격 내용이 드러났다고 한다.2019년 7월 25일, 컴퓨터 전문가들은 상용 버전의 공격이 [18][19]이용 가능할 수 있다고 보고했다.2019년 7월 31일 컴퓨터 전문가들은 악의적인 RDP 활동이 크게 증가했다고 보고했으며 유사한 취약성의 악용 이력을 바탕으로 야생에서 BlueKeep 취약성에 대한 적극적인 공격이 [20]임박했다고 경고했습니다.

2019년 8월 13일, DejaBlue라는 이름의 관련 BlueKeep 보안 취약성은 Windows 7과 Windows 10까지의 모든 최신 운영 체제 버전을 포함한 새로운 Windows 버전에 영향을 미치는 [3]것으로 보고되었습니다.

2019년 9월 6일, 웜 가능한 BlueKeep 보안 취약성에 대한 공격이 [4]공개되었다고 발표되었습니다.그러나 이 공격의 초기 버전은 "Blue Screen of Death"(BSOD) 오류를 일으키는 것으로 알려져 신뢰성이 낮았습니다.나중에 수정이 발표되어 BSOD [21]오류의 원인이 제거되었습니다.

2019년 11월 2일, 첫 번째 대규모 BlueKeep 해킹 캠페인이 보고되었으며, 여기에는 크립토잭킹 [22]미션이 포함되어 있다.

2019년 11월 8일, 마이크로소프트는 BlueKeep 공격을 확인하고 사용자에게 즉시 윈도우 [23]시스템에 패치를 적용하라고 촉구했습니다.

메커니즘

RDP 프로토콜은 클라이언트와 서버 간의 데이터 경로로 인증 전에 구성된 "가상 채널"을 사용하여 확장을 제공합니다.RDP 5.1은 32개의 '스태틱' 가상채널을 정의하고 있으며, 이들 중 하나의 스태틱채널 내에 '다이나믹' 가상채널이 포함되어 있습니다.서버가 가상채널 MS_T120(클라이언트가 접속할 정당한 이유가 없는 채널)을 31 이외의 스태틱채널과 바인드하면 시스템레벨에서 [24]임의의 코드가 실행될 수 있는파손이 발생합니다.

MicrosoftWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 및 Windows Server 2008 R2를 이 공격에 취약한 것으로 지목했습니다.Windows 8이나 Windows 10 등, 7 보다 새로운 버전에는 영향이 없습니다.Cyber Security and Infrastructure Security Agency는 또한 Windows [25]2000의 취약성을 통해 성공적으로 코드를 실행했다고 밝혔습니다.

경감

Microsoft는 2019년 5월 14일에 Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 및 Windows Server 2008 R2용 취약성에 대한 패치를 릴리스했습니다.여기에는 수명이 다한 Windows 버전(Vista, XP, Server 2003 등)이 포함되어 있어 보안 업데이트를 [8]받을 수 없게 되었습니다.이 패치는 RDP [24]서버에 의해 달리 요구된 경우에도 상기의 "MS_T120" 채널을 항상 31에 바인드하도록 강제합니다.

NSA는 리모트 데스크톱 서비스 및 관련 포트(TCP 3389)를 사용하지 않는 경우 비활성화하거나 RDP에 [26]네트워크레벨인증(NLA)을 요구하는 등의 추가 조치를 권장하고 있습니다.컴퓨터 보안업체 Sophos에 따르면 2단계 인증을 통해 RDP의 취약점 문제를 줄일 수 있습니다.단, 가장 좋은 보호는 RDP를 인터넷에서 해제하는 것입니다.필요하지 않은 경우 RDP를 끄고 필요한 경우 [27]VPN을 통해서만 RDP에 액세스할 수 있도록 하는 것입니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ Foley, Mary Jo (2019-05-14). "Microsoft patches Windows XP, Server 2003 to try to head off 'wormable' flaw". ZDNet. Retrieved 2019-06-07.
  2. ^ a b Microsoft (May 2019). "Security Update Guide - Acknowledgements, May 2019". Microsoft. Retrieved 2019-06-07.
  3. ^ a b Greenberg, Andy (2019-08-13). "DejaBlue: New BlueKeep-Style Bugs Renew The Risk Of A Windows worm". Wired. Retrieved 2019-08-13.
  4. ^ a b Goodin, Dan (2019-09-06). "Exploit for wormable BlueKeep Windows bug released into the wild - The Metasploit module isn't as polished as the EternalBlue exploit. Still, it's powerful". Ars Technica. Retrieved 2019-09-06.
  5. ^ "Customer guidance for CVE-2019-0708 - Remote Desktop Services Remote Code Execution Vulnerability". Microsoft. 2019-05-14. Retrieved 2019-05-29.
  6. ^ "CVE-2019-0708 Remote Desktop Services Remote Code Execution Vulnerability - Security Vulnerability". Microsoft. 2019-05-14. Retrieved 2019-05-28.
  7. ^ a b Cimpanu, Catalin. "Even the NSA is urging Windows users to patch BlueKeep (CVE-2019-0708)". ZDNet. Retrieved 2019-06-20.
  8. ^ a b c Goodin, Dan (2019-05-31). "Microsoft practically begs Windows users to fix wormable BlueKeep flaw". Ars Technica. Retrieved 2019-05-31.
  9. ^ Warren, Tom (2019-05-14). "Microsoft warns of major WannaCry-like Windows security exploit, releases XP patches". The Verge. Retrieved 2019-06-20.
  10. ^ "Microsoft dismisses new Windows RDP 'bug' as a feature". Naked Security. 2019-06-06. Retrieved 2019-06-20.
  11. ^ Whittaker, Zack (2019-05-31). "Microsoft warns users to patch as exploits for 'wormable' BlueKeep bug appear". TechCrunch. Retrieved 2019-05-31.
  12. ^ O'Neill, Patrick Howell (2019-05-31). "You Need to Patch Your Older Windows PCs Right Now to Patch a Serious Flaw". Gizmodo. Retrieved 2019-05-31.
  13. ^ Winder, Davey (2019-06-01). "Microsoft Issues 'Update Now' Warning To Windows Users". Forbes. Retrieved 2019-06-01.
  14. ^ Palmer, Danny (2019-07-02). "BlueKeep: Researchers show how dangerous this Windows exploit could really be - Researchers develop a proof-of-concept attack after reverse engineering the Microsoft BlueKeep patch". ZDNet. Retrieved 2019-07-02.
  15. ^ Stockley, Mark (2019-07-01). "RDP BlueKeep exploit shows why you really, really need to patch". NakedSecurity.com. Retrieved 2019-07-01.
  16. ^ Staff (2019-05-29). "CVE-2019-0708: Remote Desktop Services remote code execution vulnerability (known as BlueKeep) - Technical Support Bulletin". Sophos. Retrieved 2019-07-02.
  17. ^ Goodin, Dan (2019-07-22). "Chances of destructive BlueKeep exploit rise with new explainer posted online - Slides give the most detailed publicly available technical documentation seen so far". Ars Technica. Retrieved 2019-07-23.
  18. ^ Cimpanu, Catalin (2019-07-25). "US company selling weaponized BlueKeep exploit - An exploit for a vulnerability that Microsoft feared it may trigger the next WannaCry is now being sold commercially". ZDNet. Retrieved 2019-07-25.
  19. ^ Franceschi-Bicchieral, Lorenzo (2019-07-26). "Cybersecurity Firm Drops Code for the Incredibly Dangerous Windows 'BlueKeep' Vulnerability - Researchers from U.S. government contractor Immunity have developed a working exploit for the feared Windows bug known as BlueKeep". Vice. Retrieved 2019-07-26.
  20. ^ Rudis, Bob (2019-07-31). "BlueKeep Exploits May Be Coming: Our Observations and Recommendations". Rapid7.com. Retrieved 2019-08-01.
  21. ^ Cimpanu, Catalin (2019-11-11). "BlueKeep exploit to get a fix for its BSOD problem". ZDNet.
  22. ^ Greenberg, Andy (2019-11-02). "The First BlueKeep Mass Hacking Is Finally Here—but Don't Panic - After months of warnings, the first successful attack using Microsoft's BlueKeep vulnerability has arrived—but isn't nearly as bad as it could have been". Wired. Retrieved 2019-11-03.
  23. ^ "Microsoft works with researchers to detect and protect against new RDP exploits". Microsoft. 2019-11-07. Retrieved 2019-11-09.
  24. ^ a b "RDP Stands for "Really DO Patch!" – Understanding the Wormable RDP Vulnerability CVE-2019-0708". McAfee Blogs. 2019-05-21. Retrieved 2019-06-19.
  25. ^ Tung, Liam. "Homeland Security: We've tested Windows BlueKeep attack and it works so patch now". ZDNet. Retrieved 2019-06-20.
  26. ^ Cimpanu, Catalin. "Even the NSA is urging Windows users to patch BlueKeep (CVE-2019-0708)". ZDNet. Retrieved 2019-06-20.
  27. ^ Stockley, Mark (2019-07-17). "RDP exposed: the wolves already at your door". Sophos. Retrieved 2019-07-17.

외부 링크