Geschreven door: Patrick Maes

In samenwerking met pentester Martin Knuijsting


De kwetsbaarheid van deze week gaat over Bluekeep. BlueKeep is een Windows Remote Desktop kwetsbaarheid die Microsoft vorig jaar onthulde. Destijds zeiden de deskundigen dat BlueKeep een bedreiging vormde voor miljoenen systemen. BlueKeep zou de mogelijkheid hebben om een geautomatiseerde worm te creëren die van computer naar computer wordt verspreid. 

De golf van BlueKeep aanvallen die veiligheidsdeskundigen voorspelden (waarbij BlueKeep wereldwijd systemen zou kunnen uitschakelen) is aangekomen. Gelukkig toont de exploit niet de vorm of vernietigende impact die deskundigen in eerste instantie vreesden. Tot nu toe heeft Bluekeep deze “belofte” niet waargemaakt en is de kwetsbaarheid ook niet in de vorm van een worm opgedoken. In plaats daarvan installeren de eerste aanvallers een cryptocurrency miner op een geïnfecteerd systeem. Zij willen met behulp van rekenkracht cryptocurrency genereren. In plaats van een worm die automatisch beweegt en zich snel verspreidt, hebben aanvallers gebruik gemaakt van de connectiviteit van de kwetsbaarheid. Zij deden dit door op het internet te scannen naar kwetsbare machines om die vervolgens te exploiteren.

Honeypots

De Britse cybersecurity deskundige Kevin Beaumont tweette over de eerste golf van aanvallen. Hij merkte op dat, na een reeks van Remote Desktop Protocol (RDP) aanvallen tegelijkertijd, honeypots begonnen te crashen.

Beaumont waarschuwde Kryptos Logic beveiligingsonderzoeker Marcus Hutchins, die de “crash dump” analyseerde en de BlueKeep activiteit verifieerde. Zijn reactie was: “Na enig onderzoek vond ik Bluekeep artefacten in het geheugen en de shellcode om een Monero miner te installeren.” Hutchins is bekend onder de naam MalwareTech

Waarschuwing Microsoft

Microsoft gaf al snel een duidelijke waarschuwing aan gebruikers om kwetsbare systemen op tijd te updaten. Hierbij wees Microsoft op het potentieel van BlueKeep, dat net zoveel schade kon aanrichten als WannaCry. Inderdaad zijn er een aantal PoC exploits die volgden op de ontdekking van de kwetsbaarheid, die een doemscenario lieten zien. 

Zo kon een aanvaller de volledige controle over iemands machine overnemen in slechts 22 seconden. Er volgden nog andere exploits, één daarvan is ontwikkeld door het Department of Homeland Security. Deze maakte gebruik van de kwetsbaarheid op een Windows 2000 machine: een OS versie die niet was opgenomen in de oorspronkelijke waarschuwing van Microsoft.

Zorg dat u niet kwetsbaar bent

Met een kwetsbaarheid als deze kan uw organisatie grote financiële schade oplopen. Zorg dan ook voor een goed update beleid, waarbij frequent updates worden geïnstalleerd op kritische systemen. 

Om er zeker van te zijn dat uw netwerk zo min mogelijk kwetsbaarheden bevat, is het scannen van uw systemen noodzakelijk. Tijdens deze scan worden kwetsbaarheden blootgelegd en krijgt u handvatten hoe u uw netwerk beter te beveiligen tegen incidenten. Onze pentesters hebben de juiste kennis en kunde in huis om u hierbij van dienst te zijn. Zij zullen zorgvuldig uw netwerk scannen op kwetsbaarheden en u voorzien van een duidelijk advies waarmee u direct aan de slag kunt. 

Meer weten

Wil u meer informatie over onze pentesten of vulnerability scans? Kijk dan even op onze diensten pagina. Of bel direct met onze medewerkers via: 020 7881030, we zijn u graag van dienst.


Deel artikel via: