IoT-AI: Des technologies qui augmenteront l'espérance de vie!
inet infosec

IoT-AI: Des technologies qui augmenteront l'espérance de vie!

L'évolution technologique a déjà façonné tous les aspects de nos vies. Ça ne pourrait pas être pareil et ...
Lire la suite
infosec

Les données PDF Lumin sur des millions d'utilisateurs trouvés dans le forum de piratage

Une nouvelle fuite de données aurait eu lieu. La cible était les utilisateurs de Lumin PDF. Informations personnelles ...
Lire la suite
infosec

Un bogue dans LastPass perd les informations d'identification du site que vous avez visitées

LastPass Password Manager a publié une mise à jour la semaine dernière pour corriger un bogue de sécurité qui révèle ...
Lire la suite
infosec

Les plantes oléagineuses ont été attaquées par des drones

L'Arabie Saoudite a fait face à deux attaques majeures ce week-end. Deux grandes raffineries de pétrole ont été attaquées par ...
Lire la suite
infosec

Périphériques NAS: la recherche s'avère vulnérable aux cyberattaques!

Il est évident que chaque machine ou périphérique connecté à Internet ne peut pas être% sécurisé 100. Le ...
Lire la suite
Actualités

Code d'exploitation Bluekeep publié

  • BlueKeep est un bogue de sécurité relatif aux vers contenus dans les services de bureau à distance de Microsoft qui permet aux pirates de contrôler à distance les systèmes vulnérables.
  • Les développeurs de Metasploit ont publié le premier prototype d'exploitation de code d'exploitation avec des capacités d'exécution de charge utile.
  • Bitdefender examine le code d'exploitation Bluekeep récemment publié et Introspection Hypervisor empêche cette attaque

Vendredi dernier, les enquêteurs de sécurité travaillant sur le projet Metasploit a publié le premier code d'exploitation opérationnel permettant l'exécution du code sur des systèmes vulnérables à BlueKeep. Cette vulnérabilité à fort impact qui affecte les services de bureau à distance Microsoft a été répertorié pour la première fois sous le nom de CVE-2019-0708 en mai sur 2019. Le mois de mai 14, Microsoft a commencé à publier des correctifs pour les systèmes d'exploitation Windows concernés.

L'exploit n'est pas encore fiable à 100% dans l'exécution de code à distance. Les systèmes ciblés peuvent rencontrer un BSOD pendant l'exécution de la charge utile. Cependant, il est suffisamment fiable pour confirmer que la protection principale de Bitdefender Hypervisor Introspection (HVI) publiée par 2017 a essentiellement vaincu BlueKeep. À ce moment-là, la vulnérabilité et l'exploitation n'étaient pas connues du public et auraient été évitées le jour 0.

Bluekeep

Pourquoi BlueKeep est-il si dangereux?

BlueKeep fait partie de ces graves problèmes de sécurité considérés comme "vermifuges". Ces vulnérabilités sont généralement des bogues dans les services largement utilisés système d'exploitation qui sont généralement exposés au monde extérieur par les administrateurs système et sont autorisés par équipes de sécurité. Les pirates veulent exploiter les vulnérabilités présentes dans des services largement exposés pour optimiser et automatiser leurs attaques. Pour aggraver les choses, les attaques réussies permettent de contrôler totalement le système, car le composant RDP exploité est un pilote de noyau Windows.

Il y a eu plusieurs attaques agressives très médiatisées ces dernières années. Le WannaCry est une attaque de ver haut profil assez récente qui exploite la vulnérabilité d'EternalBlue pour propager des ransomwares. Quelques mois avant de visiter WannaCry, nous avons expliqué comment l'introspection de Bitdefender Hypervisor surpassait l'exploit EternalBlue.

Comment l’Introspection de Hypervisor empêche-t-elle l’exploitation?

Introspection Hypervisor Introspection (HVI) de Bitdefender est une technologie anti-exploitation de pointe qui utilise les API Virtual Machine Introspection, intégrées aux hyperviseurs modernes, pour surveiller l'intégralité de la mémoire de travail. VM. Cela permet à la technologie de se concentrer sur l'identification techniques d'attaque pendant l'opération de mémoire, plutôt que de rechercher des comportements antérieurs. Hypervisor Introspection ne nécessite aucune connaissance préalable de la vulnérabilité ou de son emplacement, ni aucune connaissance préalable du code d'exploitation.

Le noyau exploite comme BlueKeep (et EternalBlue) nécessitent des mesures minutieuses pour pouvoir accéder à API système d'exploitation. Lorsque le code d'exécution d'origine est reçu, l'exploit ne peut pas faire grand chose sans appeler les fonctions du système d'exploitation, car il est exécuté dans un environnement arbitraire qui inactivera ou fera planter le système. Pour "migrer" vers un environnement connu, un code malveillant essaiera de bloquer l'opérateur OS SYSCALL. Hypervisor Introspection surveille les structures principales du système d'exploitation, y compris les spécifications de modèle spécifiques CPU, empêchant les changements malveillants. Introspection Hypervisor assure ainsi une protection générale à des catégories entières d’attaques basées sur la même technique d’exploitation.

Hypervisor Introspection est disponible aujourd'hui pour les environnements Hypervisor Citrix et dans le cadre d'un programme de prévisualisation technique pour les organisations exécutant l'hyperviseur KVM.

Partager
Avez-vous une opinion? Laissez votre commentaire

L’auteur ne vous permet de copier son texte que si vous indiquez la source (SecNews.gr), en tant qu'adresse e-mail (URL en direct) de l'article.
Mis à jour le by
Teo Ehc

À propos Teo Ehc

ÊTRE L'ÉDITION LIMITÉE.

Interactions Reader

Αφήστε μια απάντηση

Votre adresse email n'est pas publiée. Les champs obligatoires sont marqués *