Kilder netværk af de seneste scanninger BlueKeep
Billede: GreyNoise
Trussel aktører er begyndt at scanne internettet for Windows-systemer, der er sårbare over for den BlueKeep (CVE-2019-0708) sårbarhed.
Denne sårbarhed påvirker Remote Desktop Protocol (RDP) service inkluderet i ældre versioner af Windows OS, XP, 7, Server 2003 og Server 2008.
Microsoft har udgivet rettelser til denne sårbarhed på 14 Maj, som en del af den Kan 2019 Patch tirsdag opdateringer tog, og advarede brugere og virksomheder til at lappe sårbare systemer så hurtigt som muligt, klassificering af de spørgsmål, som meget farligt, og advarsel om, at CVE-2019-0708 kunne være weaponized at skabe wormable (selvkopierende) udnytter.
Mange har sammenlignet BlueKeep til EternalBlue exploit, der er blevet brugt i 2017 under WannaCry, NotPetya, og Bad Rabbit ransomware udbrud.
Ingen proof-of-concept demo-kode (endnu)
Af denne grund, og fordi af Microsoft ‘ s doom og dysterhed advarsel, for de sidste to uger, infosec samfund har været at holde øje med tegn på angreb eller offentliggørelse af proof-of-concept demo-kode, som kan forenkle oprettelsen af RDP-exploits-og i sagens natur start efterfølgende angreb.
Indtil nu, har ingen forsker eller vagtselskab har offentliggjort sådanne demo-exploit-kode — af indlysende grunde, da det kan hjælpe trussel aktører start massive angreb.
Ikke desto mindre, flere enheder, der har bekræftet, at de har med succes udviklet udnytter for BlueKeep, som de agter at holde privat. Listen omfatter Zerodium, McAfee, Kaspersky, Check Point, MalwareTech, og Valthek.
NCC-Koncernen udviklet opdagelse regler for netværk, sikkerhed, udstyr, så virksomheder kan registrere eventuelle udnyttelse forsøg, og 0patch udviklet en micropatch, der midlertidigt kan beskytte systemer, indtil de har modtaget den officielle opdatering.
Yderligere, RiskSense sikkerhedsekspert Sean Dillon også skabt et værktøj, som virksomheder kan bruge, og prøve at se, om deres PC flåder har været korrekt rettet mod BlueKeep fejl.
BlueKeep scanninger i gang i løbet af weekenden
Men mens infosec fællesskabet var i besiddelse af sin kollektive ånde, tænke angreb kan aldrig starte, tingene ændret sig i løbet af weekenden.
På lørdag, threat intelligence firmaet GreyNoise begyndt at opdage, scanner for Windows-systemer sårbare over for BlueKeep.
Tale til ZDNet, GreyNoise grundlægger Andrew Morris sagde, at de mener, at angriberen var ved hjælp af Metasploit modul opdaget af RiskSense at scanne internettet for BlueKeep sårbare vært.
“Denne aktivitet er blevet observeret fra udelukkende Tor exit nodes og det er sandsynligt, at være udført af en enkelt skuespiller,” sagde han i en tweet på lørdag.
For nu, er disse kun scanninger, og ikke faktiske udnyttelse forsøg.
Det fremgår imidlertid, at mindst en trussel skuespiller er, at investere meget tid og kræfter på at udarbejde en liste over sårbare enheder, mest sandsynligt som en forberedelse til den egentlige angreb.
Med mindst seks enheder, der afslører, at de er kommet op med private BlueKeep udnytter, og med mindst to meget detaljeret skrive-ups om BlueKeep sårbarhed oplysninger findes online [1, 2], det er kun et spørgsmål om tid, før det virkelige onde kommer op med deres egen udnytter så godt.
Tor oprindelse, scanninger, der GreyNoise er i øjeblikket vidne til-og som Morris fortalte ZDNet, der er stadig i gang på tidspunktet for skrivning-er et første tegn på, at tingene er ved at blive værre. Virkelig værre!
Mere sårbarhed rapporter:
Windows 10 zero-day exploit kode frigivet onlineTwo mere Microsoft nul-dage, der uploades på GitHub
En stor luns af Ethereum kunder forbliver unpatchedResearcher udgiver Windows nul-dage for tredje dag i en rowMobile Chrome, Safari og Firefox har undladt at vise phishing-advarsler for mere end en yearRoot konto forkerte konfigurationer, der er fundet i 20% af top 1.000 Docker containersKRACK angreb: Her er hvordan virksomheder reagerer CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Windows
Sikkerhed-TV
Data Management
CXO
Datacentre