Reverse engineering van BlueKeep patch laat zien hoe gevaarlijk het is
Onderzoekers ontwikkelen van een proof-of-concept aanval na de reverse engineering van de Microsoft BlueKeep patch.
Ondanks de recente rapporten die hackers gebruiken BlueKeep aanvaller, een Windows-systemen, is er geen bewijs dat het heeft geleid tot meer admins patch kwetsbare machines.
Dat is volgens een analyse door onderzoekers van het SANS Institute, die liep een internet scan met behulp van de Shodan.io service te vinden systemen die zijn blootgesteld aan het internet en kwetsbaar voor de BlueKeep RDP fout.
Het onderzoek dat gericht om te zien of recente rapporten over de exploitatie had een merkbaar effect op hoe veel systemen kwetsbaar waren in de tijd. Blijkbaar niet veel.
Jan Kopriva details zijn methode voor de bepaling van het tarief van BlueKeep patchen op de SAN Instituut blog. Op een positieve noot, het blijkt dat kwetsbare systemen gestaag patched sinds Mei, toen Microsoft heeft de patch naast een waarschuwing dat het “wormable”, wat betekent dat het kan worden misbruikt door een worm snel infecteren alle ongepatchte computers in een netwerk.
“Als wij het mogen zien, het percentage van kwetsbare systemen lijkt stilaan meer of minder gestaag voor de afgelopen paar maanden en het blijkt dat de media-aandacht van de afgelopen campagne was niet veel te helpen,” schreef hij.
Maar misschien is het falen van deze rapporten hebben een impact is niet verwonderlijk. Onderzoekers ontdekt BlueKeep aanvallen raken van een honeypot van 23 oktober, maar de malware was geen wormen zoals WannaCry en worden alleen bezorgd in een cryptocurrency mijnwerker. Het eerste rapport van deze aanvallen werd op 2 November.
Het percentage van kwetsbare machines is waarschijnlijk dalen deze week weer na vandaag is Patch dinsdag release van Microsoft.
Het percentage van kwetsbare systemen is gestaag gedaald, blijkbaar niet beïnvloed door grootschalige BlueKeep dekking.
Afbeelding: Jan Kopriva/SANS Institute
Echter, er zijn nog vele machines die zijn rijp voor het plukken voor een aanvaller die zich ontwikkelt van een BlueKeep worm.
“Omdat er nog steeds lijken te worden honderdduizenden kwetsbare systemen die er zijn, moeten we hopen dat de worm iedereen verwacht niet komt snel” Kopriva toegevoegd.
Momenteel, hebben onderzoekers gevonden dat de BlueKeep hackers waren scannen het internet voor Windows-systemen met open RDP-poorten en met een BlueKeep exploiteren onlangs toegevoegd aan Metasploit penetration testing framework.
Gelukkig, de aanvallen werden ook veroorzaakt door machines te crashen, dat is slecht voor de aanvaller. Echter, de BSOD glitch worden opgelost, zal binnenkort in een update van de bestaande Metasploit BlueKeep exploiteren.
Naast de berichten in de media van de aanvallen, Microsoft vorige week, bracht een nieuwe waarschuwing voor gebruikers en beheerders zich bewust te worden van BlueKeep aanvallen erger nog payloads dan coin mijnwerkers.
Maar een BlueKeep worm misschien niet de grootste bedreiging komt van BlueKeep. BRITSE onderzoeker Marcus Hutchins, die wordt gecrediteerd met het stoppen van de WannaCry uitbraak, stelt dat aangezien de meeste apparaten kwetsbaar zijn voor BlueKeep zijn servers, een worm wellicht niet nodig te semarang.
Als een kwaadwillende gebruiker kan inbreken op een netwerk server, het zou gemakkelijk zijn om gebruik geautomatiseerde tooling om de server te leveren ransomware om elk systeem op hetzelfde netwerk, wees hij.
Meer over Microsoft, Windows, en BlueKeep
BlueKeep benutten om een fix te krijgen voor de BSOD probleem
BlueKeep aanvallen gebeuren, maar het is niet een wormAan patch voor Windows of niet: wil je BlueKeep bug of gebroken Visual Basic apps?Microsoft waarschuwt gebruikers om alert te blijven voor meer BlueKeep aanvallenMetasploit team releases BlueKeep exploiterenONS bedrijf de verkoop van bewapende BlueKeep exploiterenHomeland Security: We hebben getest Windows BlueKeep aanval, en het werkt zo patch nuBlueKeep: De onderzoekers laten zien hoe gevaarlijk deze Windows exploiteren zou echtEen enkele actor is het scannen van Windows systemen kwetsbaar zijn voor de BlueKeep foutIntense activiteit van het scannen zijn gedetecteerd voor BlueKeep RDP foutvan Microsoft kwesties tweede waarschuwing over het patchen van BlueKeep als PoC-code gaat het openbaar, Zelfs de NSA dringt Windows-gebruikers om de patch BlueKeep (CVE-2019-0708)Bijna één miljoen Windows-systemen kwetsbaar voor BlueKeep (CVE-2019-0708)Hoe WannaCry is nog steeds de lancering van 3.500 geslaagde aanvallen per uur TechRepublic
Verwante Onderwerpen:
CXO
Beveiliging TV
Data Management
Datacenters