Handleiding voor misbruik BlueKeep online opgedoken

Stay tuned, abonneer!

Het risico dat er misbruik wordt gemaakt van BlueKeep, een beveiligingslek in het remote desktop protocol (RDP) van Windows, is beduidend groter geworden. Dit komt doordat er een handleiding online is verschenen hoe effectief misbruik gemaakt kan worden van deze kwetsbaarheid.

Een security-onderzoeker heeft de handleiding in de vorm van een diavoorstelling op GitHub publiekelijk beschikbaar gemaakt, zij het volledig in het Chinees. Volgens experts wordt het hierdoor waarschijnlijker dat er incidenten plaatsvinden die lijken op de WannaCry- en NotPetya-aanvallen in 2017, meldt Ars Technica. Meer dan 800.000 computers die verbonden zijn met internet zijn kwetsbaar door BlueKeep. Het beveiligingsrisico ontstaat doordat geïnfecteerde computers kwaadaardige software kunnen verspreiden naar andere kwetsbare machines zonder dat de gebruiker daar een rol in speelt.

Handleiding tegen crashes bij draaien kwaadaardige code

Wat misbruik op grote schaal tot nu toe in de weg stond was een gebrek aan kennis bij cybercriminelen. Het schrijven van kwaadaardige code die niet voor een computercrash zorgde was daardoor erg moeilijk. Effectief betekende dit dat een crash het runnen van bijvoorbeeld ransomware voorkwam. De handleiding die online verscheen geeft echter instructies voor het draaien van remote code execution (RCE) zonder crashes. Dit betekent ook dat er een veel grotere kans is dat er code online verschijnt die derden kunnen gebruiken voor kwaadaardige doeleinden. Jake Williams van cybersecuritybedrijf Rendition Infosec stelt dat dit niet per se betekent dat hackers een betere mogelijkheid krijgen werkende code te schrijven. Als er echter personen zijn die de bedoeling hebben om systemen te laten crashen i.p.v. bijvoorbeeld ransomware te verspreiden, maakt de handleiding dit wel makkelijker.

Het lijkt er overigens op dat de presentatie die online verscheen een document is dat gebruikt is bij een Chinese cybersecurity-conferentie, aangezien de naam van de Chinese cybersecurity-firma Tencent KeenLab op een dia voorkomt. De naam van cybersecurity-onderzoeker Yang Jiewei wordt geïdentificeerd als de spreker, volgens Ars Technica. Het is niet duidelijk of het bestand ook door hem met derden is gedeeld. Evenmin is duidelijk of GitHub en Tencent actie zullen ondernemen.