Microsoft har kommet med tall som kan fortelle i alle fall noe om hvor godt virksomheter er beskyttet mot angrep som utnytter Windows sårbarheten som kalles for BlueKeep.
Sårbarheten ble offentlig kjent den 14. mai, samme dag som Microsoft kom med en sikkerhetsoppdatering som fjerner den. Siden da har mange ulike parter kommet med oppfordringer for å få de berørte brukerne til å installere sikkerhetsoppdateringen.
Årsaken er at BlueKeep er den mest alvorlige sårbarheten som har blitt funnet i Windows på flere år.
Den åpner for skadevare med ormfunksjonalitet, det vil si at skadevare kan infisere systemer og spre seg videre til nye mål uten at brukeren behøver å gjøre noe som helst.
Bruker lang tid
16 dager etter at sikkerhetsoppdateringen ble utgitt, den 30. mai, skrev Raviv Tamir på Twitter at andelen som hadde installert oppdateringen var så lav som 57 prosent. Tamir er tilknyttet Microsoft Threat Protection-teamet, og tallene er hentet fra Microsoft Defender Advanced Threat Protection (MSATP), en sikkerhetsløsning som Microsoft tilbyr virksomheter.
Seks dager senere, den 5. juni, kom Tamir med en oppdatering. Da hadde andelen steget til 72,4 prosent.
De hittil nyeste tallene fra Tamir er datert den 20. juni. Disse viser at andelen patchede maskiner har steget til 83,4 prosent.
Ufullstendige tall
Selv om andelen har steget betydelig de tre siste ukene, er det trolig millioner av datamaskiner som ikke har blitt sikkerhetsoppdatert, selv innen det tross alt begrensede utvalget Tamir omtaler.
Store brukergrupper, slik som forbrukersegmentet, er ikke omfattet av tallene.
Det er som kjent mange faktorer som spiller inn for å avgjøre om en Windows-basert datamaskin virkelig er sårbar for angrep som utnytter BlueKeep-sårbarheten. Om sikkerhetsoppdateringen er installert eller ikke, er bare én av disse.
For det første er ikke Windows 8.x og 10 berørt. Det er derimot Windows 7, XP og 2000, samt Windows Server-utgavene fram til og med 2008 R2. Microsoft har kommet med sikkerhetsoppdateringer til samtlige av de berørte Windows-versjonene, bortsett fra Windows 2000. Forhåpentligvis er det svært få Windows 2000-maskiner som er tilknyttet internett i dag.
Andre tiltak
Sårbarheten involverer bruken av Remote Desktop Protocol. Dersom denne tjenesten ikke er aktivert på Windows-systemet, eller dersom brannmuren mot internett eller på selve enheten blokkerer for denne typen trafikk, vil ikke BlueKeep kunne utnyttes på enheten. Det gjelder i alle fall så lenge infiserte maskiner ikke slippes til i lokalverket, altså på innsiden av brannmuren, for eksempel bærbare pc-er via wifi.
Angrep som utnytter BlueKeep har visse karakteristikker som kan gjenkjennes av sikkerhetsløsninger, som da kan blokkere trafikken.
Beskyttelse i mange lag er sentralt innen IT-sikkerhet. Derfor bør sikkerhetsoppdateringer i utgangspunktet alltid installeres så raskt som mulig. Brannmurene til virksomheten, både sentralt og på hver enhet, bør være stengt for alt bortsett fra helt nødvendig trafikk. Virksomheter og andre med beskyttelsesbehov bør benytte sikkerhetsløsninger utover de som følger med Windows.
Les også: I forrige uke slo NSA full alarm. Vi har kartlagt hele Norge for å finne utsatte BlueKeep-maskiner
