Een beveiligingsexploit genaamd BlueKeep is in het wild. Security watchers op tal van sites meldden allemaal dat onderzoekers bewijs van uitbuiting hadden gezien. HotHardware zei dat tot nu toe de tekenen waren dat de getroffen machines werden gebruikt om cryptocurrency te minen.

(De bug in Microsoft's Remote Desktop Protocol, zei Bedrade , "stelt een hacker in staat volledige code op afstand uit te voeren op niet-gepatchte machines.")

Davey Winder. die zich bezighoudt met cyberbeveiliging, vertelde lezers in Forbes :De BlueKeep-kwetsbaarheid die bestaat in niet-gepatchte versies van Windows Server 2003, Windows XP, Windows Vista, Windows 7, Windows Server 2008 en Windows Server 2008 R2 hebben nieuw nieuws gekregen:"het is nu bevestigd dat er momenteel een BlueKeep-exploitaanval aan de gang is."

Als Bedrade zei, de onderzoekers hebben bewijs gevonden "dat hun zogenaamde honeypots - lokaasmachines die zijn ontworpen om te helpen bij het detecteren en analyseren van malware-uitbraken - massaal worden gecompromitteerd met behulp van de BlueKeep-kwetsbaarheid."

Paul Lilly in HotHardware zei beveiligingsonderzoeker Kevin Beaumont had gemerkt dat "meerdere honeypots in zijn EternalPort RDP-netwerk crashten en opnieuw opstartten."

Terug in juli, Lilly had een rapport afgeleverd dat beveiligingsonderzoekers van Sophos een proof-of-concept-demonstratie hadden gemaakt die aantoonde hoe gemakkelijk het zou zijn voor een niet-gepatchte RDP-server (Remote Desktop Protocol) om door BlueKeep te worden gecompromitteerd. een Windows-bug. Vroeger, de onderzoekers hadden gehoopt dat de demo bedrijven zou afschrikken om Windows te patchen.

Dus, vooruitspoelen naar deze maand. Wat is het doel van BlueKeep? Andy Greenberg in Bedrade zei dat "de wijdverbreide BlueKeep-hacking slechts een cryptocurrency-mijnwerker installeert, de verwerkingskracht van een slachtoffer uithollen om cryptocurrency te genereren."

Niet dat beveiligingsexperts dit niet zagen aankomen. Forbes gaf een verslag van de gebeurtenissen.

"Op 4 juni " schreef Winder, "De National Security Agency (NSA) nam de ongebruikelijke stap om een ​​advies te publiceren waarin Microsoft Windows-beheerders werden verzocht hun besturingssysteem bij te werken of een 'verwoestende' en 'brede impact' te riskeren in het licht van een groeiende dreiging.

"Deze waarschuwing kreeg op 17 juni nog meer gravitas toen de Amerikaanse regering, via de Cybersecurity and Infrastructure Security Agency (CISA), een activiteitswaarschuwing 'nu bijwerken' uitgegeven. Vrijwel tegelijkertijd, beveiligingsonderzoekers voorspelden dat een 'verwoestende' BlueKeep-exploit slechts enkele weken verwijderd zou zijn."

Nu we in november zijn, Kryptos Logic heeft het merkwaardig gevonden "dat deze publiekelijk bekende wormbare kwetsbaarheid, bekend bij iedereen die het zou willen weten gedurende ten minste zes maanden, duurde zo lang om detecteerbaar bewapend te worden. Je zou kunnen theoretiseren dat aanvallers weten dat ze in wezen één kans hebben om het op grote schaal te gebruiken, en het wordt een kippetje wie het eerst zal doen."

Lilly zei dat het goede nieuws hier is dat het zich niet vanzelf verspreidde.

Dreigingspost deelde zijn observatie. "De eerste aanvallen die misbruik maken van de zero-day Windows-kwetsbaarheid installeren cryptominers en scannen naar doelen in plaats van een worm met WannaCry-potentieel." Dreigingspost vond de aanvallen "aanvankelijk teleurstellend, " lang niet zo erg als het had kunnen zijn. As Bedrade uitgelegd, In plaats van een worm die zonder hulp van de ene computer naar de andere springt, deze aanvallers lijken het internet te hebben gescand op kwetsbare machines om te misbruiken."

Kryptos Logic heeft geconcludeerd dat de vermeende activiteit zorgwekkend was, {de Kryptos Logic-blog plaatste een Twitter-thread die BSOD's rapporteerde, blauwe schermen van de dood, over Beaumont's netwerk van BlueKeep Honeypots], maar bedenk dat de informatiebeveiligingsgemeenschap slechtere potentiële scenario's had voorspeld.

"Op basis van onze gegevens zien we geen piek in het willekeurig scannen op de kwetsbare poort, zoals we zagen toen EternalBlue via internet werd ontwormd in wat nu bekend staat als de WannaCry-aanval."

Liever, zei Kryptos Logic, het leek waarschijnlijk dat "een low-level actor het internet heeft gescand en op opportunistische wijze kwetsbare hosts heeft geïnfecteerd met behulp van kant-en-klare hulpprogramma's voor penetratietests."

Elizabeth Montalban in Dreigingspost , niettemin, samengevat waarom "dit niet betekent dat beveiligingsbeheerders nu al gerust kunnen zijn. Deze matige initiële prestaties kunnen meer de onervarenheid van de hackers vertegenwoordigen dan de aard van de kwetsbaarheid zelf, waarnemers opgemerkt."

Ook Greenberg vergat mogelijke scenario's liever niet, van machines die zijn getroffen door een ernstiger - en virulenter - exemplaar van malware dat misbruik maakt van de aanhoudende RDP-kwetsbaarheid van Microsoft. "Dat kan de vorm aannemen van een ransomware-worm in het model van NotPetya of ook WannaCry, die bijna een kwart miljoen computers infecteerde toen het zich in mei 2017 verspreidde, veroorzaakt ergens tussen de $ 4 en $ 8 miljard schade."

© 2019 Wetenschap X Netwerk