Bronnen netwerken van recente BlueKeep scans
Afbeelding: GreyNoise
Dreigingen zijn begonnen met het scannen van het internet voor Windows-systemen die kwetsbaar zijn voor de BlueKeep (CVE-2019-0708) kwetsbaarheid.
Deze kwetsbaarheid effecten van het Remote Desktop Protocol (RDP) – service inbegrepen in oudere versies van het Windows-BESTURINGSSYSTEEM, zoals XP, 7, Server 2003 en Server 2008.
Microsoft uitgebrachte correcties voor deze kwetsbaarheid op 14 Mei, als onderdeel van de Mei 2019 Patch dinsdag updates trein, en waarschuwde gebruikers en bedrijven patch kwetsbare systemen zo snel mogelijk, het classificeren van de problematiek als zeer gevaarlijk, en de waarschuwing dat CVE-2019-0708 kon worden bewapende te maken wormable (self-replicating) misbruik.
Velen hebben vergeleken BlueKeep de EternalBlue exploiteren die is gebruikt in 2017 tijdens de WannaCry, NotPetya, en Slechte Konijn ransomware uitbraken.
Geen proof-of-concept demo-code (nog)
Om deze reden, en omdat het van Microsoft is kommer-en-kwel waarschuwing, voor de afgelopen twee weken, de infosec gemeenschap heeft al een oogje uit voor het tekenen van de aanvallen of de publicatie van een proof-of-concept demo code die kunnen vereenvoudigen het maken van RDP exploits — en inherent start latere aanvallen.
Tot nu toe heeft niemand onderzoeker of beveiligingsbedrijf heeft gepubliceerd dergelijke demo exploit code — voor de hand liggende redenen, omdat het zou kunnen helpen dreigingen start massale aanvallen.
Toch zijn enkele entiteiten hebben bevestigd dat ze succesvol in het ontwikkelen van exploits voor BlueKeep, welke zij voornemens zijn te houden. De lijst bevat Zerodium, McAfee, Kaspersky, Check Point, MalwareTech, en Valthek.
De NCC Group ontwikkeld detectie regels voor de beveiliging van het netwerk apparatuur, zodat de bedrijven kunnen detecteren exploitatie pogingen, en 0patch ontwikkelde een micropatch dat kan tijdelijk de beveiliging van systemen tot het ontvangen van de officiële update.
Verder RiskSense security-onderzoeker Sean Dillon ook een tool die bedrijven kunnen gebruiken en testen om te zien of hun PC vloten correct zijn gepatcht tegen de BlueKeep fout.
BlueKeep scans begonnen in het weekend
Maar terwijl de infosec gemeenschap was het houden van de collectieve adem te denken aanvallen kan nooit beginnen met dingen veranderd in het weekend.
Op zaterdag, threat intelligence bedrijf GreyNoise begonnen met het opsporen van scans voor Windows systemen kwetsbaar zijn voor BlueKeep.
Spreekt ZDNet, GreyNoise oprichter Andrew Morris zei ze geloven dat de aanvaller werd met behulp van de Metasploit-module gedetecteerd door RiskSense scannen het internet voor BlueKeep kwetsbare host.
“Deze activiteit waargenomen van uitsluitend Tor exit nodes en is waarschijnlijk wordt uitgevoerd door één acteur,” zei hij in een tweet op zaterdag.
Voor nu, deze zijn alleen scans, en niet de feitelijke exploitatie pogingen.
Het blijkt echter dat minstens een bedreiging acteur investeert heel veel tijd en moeite in het opstellen van een lijst van kwetsbare apparaten, waarschijnlijk in voorbereiding voor de daadwerkelijke aanvallen.
Met ten minste zes entiteiten onthullen ze op de proppen met een eigen BlueKeep exploits, en met ten minste twee zeer gedetailleerde schrijf-ups op de BlueKeep kwetsbaarheid gegevens online beschikbaar [1, 2], is het slechts een kwestie van tijd totdat de echte bad guys komen met hun eigen heldendaden.
De Tor-van oorsprong-scans die GreyNoise is op dit moment te zien — en die Morris vertelde ZDNet dat nog aan de gang zijn op het moment van schrijven, zijn een eerste teken dat er dingen zijn erger. Echt slechter!
Meer kwetsbaarheid rapporten:
Windows 10 zero-day exploit code vrijgegeven onlineTwo meer Microsoft zero-dagen geupload op GitHub
Een groot deel van Ethereum cliënten blijven unpatchedResearcher publiceert Windows zero-dagen voor de derde dag op een rowMobile Chrome, Safari en Firefox gefaald om aan te tonen phishing waarschuwingen voor meer dan een yearRoot account onjuiste gevonden in 20% van de top 1.000 van de Docker containersKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Windows
Beveiliging TV
Data Management
CXO
Datacenters