Källor nätverk av senaste BlueKeep scannar
Bild: GreyNoise
Hot aktörer har börjat skanna internet för Windows-system som är mest sårbara för BlueKeep (CVE-2019-0708) sårbarhet.
Denna sårbarhet för påverkan Remote Desktop Protocol (RDP) tjänst som ingår i äldre versioner av Windows OS, såsom XP, 7, Server 2003 och Server 2008.
Microsoft utgivna korrigeringar för denna sårbarhet den 14 Maj, som en del av Maj 2019 Patch tisdag uppdateringar tåg, och varnade för användare och företag att lappa sårbara system så snart som möjligt, klassificering frågan som mycket farliga, och varnar för att CVE-2019-0708 kan vara weaponized att skapa wormable (självreproducerande) utnyttjar.
Många har liknat BlueKeep till EternalBlue utnyttja som har använts i 2017 under WannaCry, NotPetya, och Bad Kanin ransomware utbrott.
Ingen proof-of-concept demo-koden (ännu)
Av denna anledning, och på grund av Microsofts jämmer-och-elände varning, för de senaste två veckorna, infosec samhället har varit att hålla utkik efter tecken på attacker eller offentliggörande av proof-of-concept demo-kod som kan förenkla skapandet av RDP bedrifter — och sig start efterföljande attacker.
Fram tills nu, ingen forskare eller bevakningsföretag har publicerat någon sådan demo-exploit-kod — av uppenbara skäl, eftersom det kan hjälpa hot aktörer starta massiva attacker.
Trots flera enheter har bekräftat att de har framgångsrikt utvecklat utnyttjar för BlueKeep, som de avser att hålla privat. Listan innehåller Zerodium, McAfee, Kaspersky, Check Point, MalwareTech, och Valthek.
NCC-Koncernen utvecklat regler för nätsäkerhet utrustning så att företagen skulle kunna upptäcka eventuella utnyttjande försök, och 0patch utvecklat en micropatch som tillfälligt kan skydda system tills de får den officiella uppdateringen.
Ytterligare, RiskSense säkerhet forskare Sean Dillon också skapat ett verktyg som företag kan använda och testa för att se om deras PC flottor har varit korrekt korrigerad mot BlueKeep fel.
BlueKeep skannar igång under helgen
Men medan infosec community höll sin kollektiva andetag tänker attacker kan aldrig börja, saker och ting förändrats under helgen.
På lördag, threat intelligence fast GreyNoise började upptäcka söker för Windows-system utsatta för BlueKeep.
Sett till ZDNet GreyNoise grundare Andrew Morris säger att de tror att angriparen var med Metasploit modul detekteras av RiskSense att söka på internet efter BlueKeep utsatta värd.
“Denna verksamhet har observerats från enbart Tor-exit-noder och sannolikt kommer att utföras av en enda aktör, säger han i en tweet på lördag.
För nu, detta är bara skannar, och inte faktiska utnyttjande försök.
Det verkar dock som minst en hot aktör investerar riktigt tid och möda på att sammanställa en lista över sårbara enheter, troligen i förberedelserna för den faktiska attacker.
Med minst sex enheter som avslöjar att de har kommit upp med privata BlueKeep bedrifter, och med minst två mycket ingående uppskrivningar på BlueKeep sårbarhet information tillgänglig online [1, 2], det är bara en tidsfråga tills de riktiga skurkarna kommer upp med sina egna bedrifter.
Tor-med ursprung genomsökningar som GreyNoise är för närvarande — och som Morris sa till ZDNet som fortfarande pågår i skrivande stund-är ett första tecken på att saker och ting är på väg att bli värre. Verkligen värre!
Mer sårbarhet rapporter:
Windows 10 zero-day exploit-kod släppt onlineTwo fler Microsoft-noll-dagar laddas upp på GitHub
En stor del av Ethereum kunder fortfarande unpatchedResearcher publicerar Windows noll-dagar för tredje dagen i en rowMobile Chrome, Safari och Firefox misslyckats med att visa phishing-varningar för mer än en yearRoot konto inställningar finns i 20 procent av de 1 000 högsta Docker containersKRACK attack: Här är hur företagen hanterar CNETTopp 10-app sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Windows
Säkerhet-TV
Hantering Av Data
CXO
Datacenter