De ontwikkelaars van de Metasploit-penetration testing framework hebben vandaag een bewapende benutten voor de BlueKeep Windows kwetsbaarheid.
Terwijl andere beveiligingsonderzoekers hebben uitgebracht defanged BlueKeep proof-of-concept code in het verleden, deze exploit is geavanceerd genoeg om het bereiken van de uitvoering van een code op externe systemen, infosec deskundigen die beoordeeld de Metasploit-module hebben verteld ZDNet.
Wat is BlueKeep?
BlueKeep, ook wel bekend als CVE-2019-0708, is een beveiligingsprobleem in Remote Desktop Protocol (RDP) – service in oudere versies van het Windows-besturingssysteem (Windows XP, Windows 2003, Windows 7, Windows Server 2008 en Windows Server 2008 R2).
Microsoft gepatcht BlueKeep in de Mei 2019 Patch dinsdag beveiligings correcties die zijn uitgebracht op 14 Mei, en waarschuwde gebruikers om toepassing van de patches zo snel mogelijk.
In de tijd, te stimuleren gebruikers in patchen sneller, de OS maker beschreven BlueKeep als een “wormable” kwetsbaarheid dat zichzelf kan verspreiden in een soortgelijke wijze die vergelijkbaar is met hoe de EternalBlue exploiteren hielp de WannaCry ransomware doorgeven aan miljoenen computers in 2017.
Sinds het werd openbaar gemaakt, de cyber-security-gemeenschap is het houden van de collectieve adem voor de release van een eerste bewapende BlueKeep te exploiteren, uit angst voor het kan worden misbruikt op dezelfde wijze en helpen de kracht van een wereldwijde malware-uitbraak.
Microsoft heeft herhaaldelijk gezegd gebruikers patches van toepassing zijn, en zelfs de AMERIKAANSE National Security Agency (NSA), het AMERIKAANSE Ministerie van Homeland Security, het duitse BSI-cyber-security agency, de Australische Cyber Security Centrum, en de BRITSE National Cyber Security Centre heeft uitgegeven veiligheid waarschuwingen aandringen gebruikers en bedrijven patch oudere versies van Windows.
De verschillende cyber-security bedrijven en security onderzoekers hebben ontwikkeld BlueKeep exploits, maar al afgenomen om het vrijgeven van de code, uit angst voor de gevolgen.
In juli, de infosec gemeenschap kreeg een eerste schrik toen een cyber-security bedrijf met de naam Immuniteit Inc. gestart met de verkoop van een eigen BlueKeep exploiteren; echter, het exploiteren bleef privé en nooit gelekt.
De nieuwe BlueKeep Metasploit-module
Maar vandaag, Rapid7, het cyber-security bedrijf achter de open-source Metasploit framework, publiceerde een BlueKeep exploiteren als een Metasploit-module voor iedereen beschikbaar te maken.
In tegenstelling tot de tientallen BlueKeep proof-of-concept exploits die zijn geüpload op GitHub de afgelopen maanden, deze module kan bereiken code-uitvoering.
Echter, de Metasploit-module is enigszins defanged. Momenteel is het alleen werkt in een “manual” mode, wat betekent dat het de behoeften van de interactie van de gebruiker om correct uit te voeren.
Metasploit-exploitanten moeten voeden een parameter met informatie over het systeem dat ze willen targeten. Dit betekent dat de exploit niet gebruikt kan worden in een geautomatiseerde manier als een self-verspreiding van de worm, maar het zal werken voor gerichte aanvallen.
Bijvoorbeeld, een hacker groep die toegang verkregen tot het netwerk van een bedrijf kunt implementeren op een systeem basis, en uiteindelijk breken in in de buurt werkstations één voor één, als er voldoende tijd ter beschikking te stellen.
Bovendien, de BlueKeep Metasploit-module werkt alleen tegen de 64-bits versies van Windows 7 en Windows 2008 R2, maar niet op de andere Windows-versies die zijn ook kwetsbaar voor BlueKeep. Dit kleine feit is ook versmalt het mogelijke gebruik voor strafrechtelijke inspanningen, hoewel, het niet regel het uit.
De 700.000 systemen nog steeds kwetsbaar
Hoewel een module werd vandaag vrijgegeven, security experts niet verwacht te zien malware campagnes of hacks benutten meteen.
Net zoals met alles, is er meestal een leercurve zelfs met hackers, omdat ze worden gebruikt om een instrument.
Nonethless, door de tijd black-hats wennen aan de module, zal er nog veel kwetsbare systemen. Dit is omdat ondanks het feit dat had bijna vier maanden patch het BlueKeep kwetsbaarheid, de meeste gebruikers en bedrijven niet in geslaagd om de Microsoft-patches.
Volgens een BinaryEdge scannen, er zijn nog zo ‘ n 700.000 systemen kwetsbaar zijn voor BlueKeep bloot op het internet, en mogelijk miljoenen meer binnen achter een firewall netwerken.
Veiligheid
Android Google Play-app met 100 miljoen downloads begint te leveren malware
Microsoft: het Gebruik van multi-factor authenticatie blokken 99,9% van de account hacks
Een nieuwe IOT botnet is het infecteren van Android-gebaseerde set-top boxes
Schande over SHA-2: Symantec flunks basic programmeren (ZDNet YouTube)
De beste DIY home security systems 2019 (CNET)
De grootste cybersecurity risico ‘ s in de financiële sector (TechRepublic)
Verwante Onderwerpen:
Windows
Beveiliging TV
Data Management
CXO
Datacenters