Microsoft’un BlueKeep açığı için yayınladığı yamayı analiz eden Sophos araştırmacıları, olası bir BlueKeep saldırısının ne kadar ciddi sonuçlara yol açabileceğini gösteren bir kanıt yayınladı.
Sophos, Mayıs ayında raporlanan ve BlueKeep olarak bilinen CVE-2019-0708 açığına dair gerekli yamaların yapılmaması halinde sistemlerin ne kadar büyük bir risk altında kalacağını gösteren bir çalışma yayınladı. BlueKeep, saldırganların Uzak Masaüstü Protokolü (Remote Desktop Protocol – RDP) aracılığıyla hedef sistemlerde diledikleri komutu çalıştırmalarını mümkün kılıyor. Böylece zararlı yazılım yüklemekten verilere değiştirmeye kadar pek çok eylemi gerçekleştirebilmelerini sağlıyor.
BlueKeep, 2017 yılındaki WannaCry fidye yazılımı saldırısında kullanılan EternalBlue ile kıyaslanabilecek hızda yayılabilme potansiyeline sahip. Halen dünya genelinde yaygın olarak kullanılan Windows XP, Windows 7, Windows Server 2003 ve Windows Server 2008 işletim sistemlerini etkiliyor. Tehdidin ortaya koyduğu risk çok büyük. Öyle ki, Microsoft desteğini yıllar önce sonlandırmasına rağmen bu işletim sistemleri için Mayıs ayında özel bir BlueKeep yaması yayınlama kararı aldı. Ardından Microsoft’un yanı sıra Amerikan Ulusal Güvenlik Ajansı (NSA) gibi kurumlar söz konusu yamaların bir an önce sistemlere uygulanması gerektiğine dair defalarca uyarıda bulundu.
Henüz BlueKeep açığını kullanan bir saldırı ortaya çıkmamış durumda. Ancak Sophos’un ortaya koyduğu kanıt böyle bir saldırının neden olabileceği zararı gözler önüne seriyor. Üstelik saldırının gerçekleşmesi için bilgisayar sahibinin herhangi bir müdahalesi de gerekmiyor. Bu durum sistemlerin gizlice takip altına alınmasından fidye saldırılarına, hatta ağdaki tüm bilgilerin tamamen silinmesine kadar pek çok olasılığı beraberinde getiriyor.
Sophos güvenlik uzmanları, olası bir BlueKeep saldırısından korunmak için ilgili yamaların vakit
kaybetmeden yüklenmesi gerektiğine dikkat çekiyor. Ayrıca ihtiyaç olmayan sistemlerde RDP’nin devre dışı bırakılması öneriliyor. Gerektiğinde dahili RDP sunucusuna mutlaka VPN aracılığıyla bağlanılması önemli. RDP servisinin çalıştığı makinelere erişimi olan kullanıcı hesaplarında çok adımlı doğrulama sistemlerinin aktif hale getirilmesini tavsiye ediyor.