Fonti di reti di recente BlueKeep scansioni
Immagine: GreyNoise
Minaccia attori hanno iniziato la scansione di internet per sistemi Windows, che sono vulnerabili al BlueKeep (CVE-2019-0708) vulnerabilità.
Questa vulnerabilità, impatti il Remote Desktop Protocol (RDP), servizio incluso nelle versioni precedenti del sistema operativo Windows, come XP, 7, Server 2003 e Server 2008.
Microsoft ha rilasciato le correzioni per questa vulnerabilità, il 14 Maggio, come parte di Maggio 2019 martedì delle Patch aggiornamenti treno, e ha avvertito gli utenti e le aziende di patch che sistemi vulnerabili il più presto possibile, classificando il problema molto pericoloso, e avviso che CVE-2019-0708 potrebbe essere un’arma a creare wormable (auto-replicanti) exploit.
Molti hanno paragonato il BlueKeep per il EternalBlue exploit che è stato utilizzato nel 2017 durante il WannaCry, NotPetya, e Male Coniglio ransomware focolai.
No proof-of-concept demo (codice di sicurezza)
Per questo motivo, e a causa di Microsoft doom-e-tenebre avviso, per le ultime due settimane, il infosec comunità ha cercato di tenere un occhio fuori per i segni di attacchi o la pubblicazione di qualsiasi proof-of-concept demo di codice che potrebbero semplificare la creazione di RDP exploit — e intrinsecamente iniziare a successivi attacchi.
Fino ad ora, nessuno ricercatore o società di sicurezza ha pubblicato tali demo codice di exploit — per ovvi motivi, in quanto potrebbe aiutare minaccia attori avviare attacchi massicci.
Tuttavia, diversi enti hanno confermato che hanno sviluppato con successo exploit per BlueKeep, che intendono mantenere privato. L’elenco comprende Zerodium, McAfee, Kaspersky, Check Point, MalwareTech, e Valthek.
NCC Group ha sviluppato le regole di rilevamento per apparecchiature di rete di sicurezza, in modo che le aziende in grado di rilevare eventuali tentativi di sfruttamento, e 0patch sviluppato un micropatch che permette di disattivare temporaneamente la protezione dei sistemi fino a quando non ricevono l’aggiornamento ufficiale.
Inoltre, RiskSense ricercatore di sicurezza Sean Dillon anche creato uno strumento che le aziende possono utilizzare e prova a vedere se il PC flotte sono state correttamente patchato contro il BlueKeep difetto.
BlueKeep analisi avviate nel corso del weekend
Ma mentre il infosec comunità stava tenendo il suo respiro collettivo pensare attacchi può non iniziare mai, le cose sono cambiate durante il fine settimana.
Sabato threat intelligence ditta GreyNoise ha cominciato a rivelare le scansioni per i sistemi Windows vulnerabile a BlueKeep.
Parlando di ZDNet, GreyNoise fondatore Andrew Morris ha dichiarato di credere l’attaccante è stato utilizzando il Metasploit modulo rilevato da RiskSense per eseguire la scansione di internet per BlueKeep vulnerabili host.
“Questa attività è stata osservata esclusivamente exit node Tor e, probabilmente, potrebbe essere eseguita da un singolo attore”, ha detto in un tweet il sabato.
Per ora, queste sono solo le scansioni, e non di veri e propri tentativi di sfruttamento.
Tuttavia, sembra che almeno una minaccia attore sta investendo molto tempo e sforzi per la compilazione di un elenco di dispositivi vulnerabili, probabilmente in preparazione per l’effettivo attacchi.
Con almeno sei entità rivelando hanno fatto privato BlueKeep exploit, e con almeno due molto dettagliate write-up sul BlueKeep dettagli della vulnerabilità disponibili on-line [1, 2], è solo una questione di tempo fino a quando i veri cattivi venire con loro exploit.
Tor originari scansioni GreyNoise attualmente sta vedendo — e che Morris ha detto di ZDNet che sono ancora in corso al momento della scrittura-sono un primo segno che le cose stanno per avere la peggio. Veramente di peggio!!!
Più vulnerabilità di report:
Windows 10 zero-day exploit codice rilasciato onlineTwo più di Microsoft zero-giorni hanno caricato su GitHub
Un grande pezzo di Ethereum clienti rimangono unpatchedResearcher pubblica di Windows zero-day per il terzo giorno in un rowMobile Chrome, Safari e Firefox non è riuscito a mostrare avvisi di phishing per più di un yearRoot conto configurazioni errate trovato nel 20% dei 1.000 Mobile containersKRACK attacco: Ecco come le aziende stanno rispondendo CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Windows
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati