I øjeblikket, det eneste offentlige proof-of-concept exploit-kode til den berygtede BlueKeep sårbarhed er et modul til Metasploit penetration test ramme.
Den BlueKeep Metasploit-modulet blev sat sammen fra et proof-of-concept kode, som er doneret af RiskSense sikkerhedsekspert Sean Dillon (@zerosum0x0) i løbet af sommeren.
Mens den udnyttelse, der virker, det har en bagside, nemlig at der på nogle systemer kan det crash målet med en Blue Screen of Death (BSOD) fejl, i stedet for at give angriberne en remote shell.
Denne BSOD fejl er, hvordan sikkerhed forsker Kevin Beaumont opdagede den første BlueKeep-baserede angreb i den virkelige verden i sidste uge, efter at han har bemærket, at 10 af sine 11 RDP honeypots var nede med en BSOD fejl.
Dog, i denne uge, BlueKeep Metasploit modul vil få en rettelse af denne fejl. Fix fjerner BSOD fejl og gør BlueKeep angreb mere pålidelige.
BlueKeep var styrter på grund af den Nedsmeltning patch
I et interview med ZDNet i løbet af weekenden, Dillon sagde, at årsagen til den BSOD fejl var Microsofts patch til Nedsmeltning Intel CPU sårbarhed.
“Fra at kigge på screenshots af analysen Marcus ‘MalwareTech’ Hutchins gjorde, vi kender kode var nået, og at de honeypots blev bryder sammen, fordi den udnytter ikke støtte kerner med Nedsmeltning,” Dillon fortalte ZDNet.
“Fremtiden BlueKeep Metasploit udnytte vil støtte kerner lappet til Nedsmeltning og ikke selv har brug for en KVA Skygge afbødning bypass,” sagde han.
[KVA Skygge er den tekniske betegnelse, som Microsoft gav Nedsmeltning patch. Se her for detaljer.]
Den nye BlueKeep udnytte ændringer udnytte den rutine tidligt i et BlueKeep angreb, så en Nedsmeltning patch bypass er ikke engang nødvendigt. At dykke dybere ned i de tekniske detaljer, Dillon fortalte ZDNet:
“For det [BlueKeep] udnytte nyttelast at overgangen fra kernel mode til en traditionel bruger-tilstand nyttelast (såsom omvendt TCP shell tilbagekald), vi har skiftet system opkaldsinfo på en måde, der ikke var tilladt af den Nedsmeltning KVA Skygge begrænsning. Efter at have skrevet en bypass for KVA Skygge afhjælpning, det blev påpeget, at udnytte nyttelast kunne være skrevet uden at behøve at tilslutte systemet kalder på alle. Behovet for en Nedsmeltning bypass er faktisk unødvendige og en del af forkerte antagelser tidligt i udnytte en udvikling, Som er den programrettelse, der vil være at gå i.”
Dillon forventer, at Metasploit-projektet til at opdatere BlueKeep modul senere i denne uge. En teknisk dybt dyk ned i roden af BlueKeep BSOD er også tilgængelig på Dillon personlige blog, her.
Nogle overslag fra MalwareTech
Hvad dette betyder for os alle, er temmelig indlysende. BlueKeep offentlige-udnyttelse bliver mere pålidelige, hvilket betyder at angriberne har en større chance for at bryde ind i en virksomhed, som driver mindst en sårbare system.
Som Hutchins påpeget i en Twitter-tråd i sidste uge, cyber-sikkerhed samfund har fokuseret for meget på Microsoft ‘ s første advarsel om, at BlueKeep kunne bruges til at skabe “wormable malware.”
Resultatet var, at alle gik glip af det punkt, at selv hvis angriberne ikke oprette en BlueKeep-baseret orm, BlueKeep er stadig en stor trussel og bør ikke ignoreres.
“Jeg er egentlig ikke bekymret for, om en orm, hvad jeg er bekymret for, om der er noget, der kan være allerede ved at ske,” Hutchins sagde.
“De fleste BlueKeep sårbare enheder er servere. Generelt, Windows-servere har evnen til at styre enheder på netværket. Enten de er domæne admin, har network management-værktøjer, der er installeret, eller deler det samme lokale admin-oplysninger med resten af netværket. Ved at gå på kompromis et netværk, server, det er næsten altid meget let at bruge automatiserede værktøjer til at vippe internt (Ex: få serveren til at droppe ransomware at alle systemer på netværket),” tilføjede han.
“Den reelle risiko med BlueKeep er ikke en orm. En orm er meningsløst og støjende. Når en hacker er på netværket, kan de gøre langt mere skade med standard automatiserede værktøjer, end de nogensinde kunne gøre med BlueKeep,” Hutchins sagde.
“Kan du huske alle disse nyheder om hele det netværk, der ransomwared? Der starter med et enkelt system bliver hacket. Ikke engang en server, en normal, ikke admin, klient system. Angribere ikke har brug for orme.
“Folk er nødt til at stoppe med at bekymre sig om, orme og begynde at bekymre sig om grundlæggende netværkssikkerhed. Firewall dine servere fra internettet, lære om credential hygiejne. Lejlighedsvis orme ske, men hver dag er der hele netværk kompromitteret brug kun standard-værktøjer.”
Da nyheden brød om BlueKeep udnyttelse i naturen, de fleste af de reaktioner, var dybest set “det er ikke en orm, så det betyder ikke noget”. Jeg besluttede, at jeg ville lave en tråd om hvorfor det er forkert, og hvorfor en orm er ikke engang et worst case-scenarie.
TRÅD:
— MalwareTech (@MalwareTechBlog) November 8, 2019
Den BlueKeep lowdown
Fordi der har været en strøm af BlueKeep-relaterede dækning i år, nedenfor er et sammendrag af, hvad du har brug for at vide. Bare det væsentlige:
BlueKeep er et øgenavn givet til CVE-2019-0708, en sårbarhed i Microsoft RDP (Remote Desktop Protocol) service.BlueKeep virkninger kun: Windows 7, Windows Server 2008 R2, Windows Server 2008.Patches er blevet tilgængelige siden midten af Maj 2019. Se officielle Microsoft-sikkerhedsbulletin.Samme dag blev der udgivet patches, Microsoft offentliggjorde et blog-indlæg advarsel om BlueKeep være wormable.Microsoft udsendte en anden advarsel om kirker, der er behov for at lappe BlueKeep, to uger senere, i slutningen af Maj.Den AMERIKANSKE National Security Agency, USA Department of Homeland Security, Tyskland BSI-cyber-security agency, den Australske Cyber Security Center, og UK ‘ s National Cyber Security Center har alle udstedt deres egen sikkerhed alarmer, forsøger at få virksomheder til at lappe forældet computer flåder.Mange sikkerhedseksperter og cyber-sikkerhed i virksomheder, der er udviklet fuldt fungerende BlueKeep udnytter i løbet af sommeren; men ingen offentliggjort koden efter at indse, hvor farlig den udnyttelse, der var, og frygtede, at det kunne blive misbrugt af malware forfattere.I juli, en amerikansk virksomhed, som startede med at sælge en privat BlueKeep udnytte til sine kunder, så de kan teste, om deres systemer sårbare over.I September, udviklerne af Metasploit penetration test ramme offentliggjort den første offentlige BlueKeep proof-of-concept exploit.I slutningen af oktober, malware forfattere begyndte at bruge denne BlueKeep Metasploit modul i en real-verden-kampagne. Microsoft har en artikel om denne malware kampagne her.
Ifølge BinaryEdge, der er omtrent 700,000 internet-tilsluttede Windows-systemer, der er sårbare over for BlueKeep, og har endnu til at modtage patches.
Sikkerhed
En indvendig kig på WP-VCD -, nutidens største WordPress hacking drift
Vi skal lade være med at smile vores vej mod et overvågningssamfund,
BlueKeep angreb der sker, men det er ikke en orm,
Hvorfor du skal tænke på sikkerhed i forsyningskæden (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
To trin, du skal tage for at beskytte dit netværk mod hackere, (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre