Udviklerne af Metasploit penetration testing framework har i dag udgivet en weaponized udnytte til BlueKeep Windows sårbarhed.
Mens andre sikkerheds-forskere har udgivet defanged BlueKeep proof-of-concept kode i fortiden, denne udnyttelse er avanceret nok til at opnå udførelse af kode på eksterne systemer, infosec eksperter, der har gennemgået modul til Metasploit har fortalt ZDNet.
Hvad er BlueKeep?
BlueKeep, også kendt som CVE-2019-0708, er en svaghed i Remote Desktop Protocol (RDP) service i ældre versioner af Windows-operativsystemet (Windows XP, Windows 2003, Windows 7, Windows Server 2008 og Windows Server 2008 R2).
Microsoft patched BlueKeep i Maj 2019 Patch tirsdag sikkerhed programrettelser udgivet den Maj 14, og advarede om, at brugerne til at anvende de pletter så hurtigt som muligt.
På det tidspunkt, for at anspore brugerne til at lappe hurtigere, OS kaffefaciliteter, der er beskrevet BlueKeep som en “wormable” sårbarhed, der selv kan formere sig i en lignende måde, der svarer til, hvordan EternalBlue udnytte hjalp WannaCry ransomware forplanter sig til millioner af computere i 2017.
Da det blev offentliggjort, cyber-sikkerhed samfund har været i besiddelse af sin kollektive ånde til udgivelse af et første weaponized BlueKeep udnytte, frygter, at det kan misbruges på samme måde og hjælpe med at drive en global malware udbrud.
Microsoft har flere gange fortalt, at brugerne til at anvende programrettelser, og selv den AMERIKANSKE National Security Agency (NSA), US Department of Homeland Security, Tyskland BSI-cyber-security agency, den Australske Cyber Security Center, og UK ‘ s National Cyber Security Center har udstedt sikkerhedsadvarsler, der opfordrer brugere og virksomheder til at lappe ældre versioner af Windows.
Forskellige cyber-sikkerhed for virksomheder og sikkerhed forskere har udviklet BlueKeep exploits, men alle afviste at frigive koden, der frygtede konsekvenserne af det.
I juli, den infosec fællesskab fik en første skræmme, når en cyber-sikkerhed selskab ved navn Immunitet, Inc. begyndte at sælge et privat BlueKeep udnytte; men den udnyttelse, der er forblevet private og aldrig lækket.
Den nye BlueKeep modul til Metasploit
Men i dag, Rapid7, cyber-sikkerhed, virksomheden bag open source-Metasploit framework, der blev offentliggjort en BlueKeep udnytte som et modul til Metasploit, der er tilgængelig for alle.
I modsætning til de snesevis af BlueKeep proof-of-concept udnytter det, der er blevet uploadet på GitHub i løbet af de seneste måneder, dette modul kan opnå kode.
Men, Metasploit modul har været noget defanged. I øjeblikket er det kun arbejder i en “manual” – tilstand, hvilket betyder, at det behov brugeren interaktion til at udføre korrekt.
Metasploit operatører skal fodre det til en parameter med oplysninger om det system, de ønsker at målrette mod. Dette betyder, at den udnyttelse, der ikke kan bruges i en automatiseret måde som en selv-spredning orm, men vil arbejde for målrettede angreb.
For eksempel kan en hacker-gruppen, der har fået adgang til en virksomheds netværk kan implementere det på en system-til-system grundlag, og i sidste ende hacke sig ind alle i nærheden-arbejdsstationer, én efter én, hvis der er tid nok til rådighed.
Desuden BlueKeep Metasploit-modulet virker kun mod 64-bit versioner af Windows 7 og Windows 2008 R2, men ikke de andre Windows-versioner, der var også sårbare over for BlueKeep. Dette lille faktum også indsnævrer dens mulige anvendelse for kriminelle bestræbelser, selv om det ikke udelukke det.
700,000 systemer stadig sårbar
Altough et modul, der blev udgivet i dag, sikkerhed eksperter forventer ikke at se malware kampagner eller hacks udnytte højre væk.
Ligesom med alt andet, er der som regel en indlæringskurve, selv med hackere, så de vænner sig til et redskab.
Nonethless, ved den tid sort-hatte vænne sig til modulet, vil der stadig være masser af sårbare systemer rundt omkring. Dette skyldes, at på trods af at have haft næsten fire måneder at lappe BlueKeep sårbarhed, de fleste brugere og virksomheder, der har undladt at anvende Microsofts patches.
Ifølge en BinaryEdge scanning, der er stadig 700,000 systemer sårbare over for BlueKeep eksponeret på internettet, og måske millioner mere inde firewalled netværk.
Sikkerhed
Android Google Play app med 100 millioner downloads begynder at levere malware
Microsoft: Brug af multi-faktor-autentificering blokke 99,9% af konto hacks
En ny tingenes internet botnet er at inficere Android-baseret set top-bokse
Skam over SHA-2: Symantec dumper grundlæggende programmering (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Den største cybersecurity risici i den finansielle sektor (TechRepublic)
Relaterede Emner:
Windows
Sikkerhed-TV
Data Management
CXO
Datacentre