Ernstige BlueKeep-kwetsbaarheid in Windows wordt misbruikt

Beveiligingsonderzoekers hebben aanvallen met BlueKeep gespot. BlueKeep is een kwetsbaarheid in oudere versies van het Remote Desktop Protocol (RDP) van Microsoft. De fout werd ontdekt bij de May 2019 Patch.

De grootste angst rondom BlueKeep lijkt vooralsnog echter niet te zijn uitgekomen. De fout is namelijk ‘wormable’, wat betekent dat malware de kwetsbaarheid kan misbruiken om zichzelf te repliceren en te verspreiden. Maar bij de eerste aanvallen wordt de kwetsbaarheid niet op die manier misbruikt, meldt ZDNet.

Beveiligingsonderzoekers hebben in plaats daarvan een hackersgroep gedetecteerd die een demo-exploit van BlueKeep gebruikt, die in september door het team achter Metasploit uitgebracht werd. Metasploit is een framework voor pentests. Die demo wordt nu gebruikt om kwetsbare Windows-systemen te hacken en een cryptovaluta miner te installeren.

De aanval wordt nu twee weken lang op schaal uitgevoerd, maar werd dit weekend pas ontdekt door beveiligingsexpert Kevin Beaumont. Beveiligingsonderzoeker Marcus ‘MalwareTech’ Hutchins – die eerder de uitbraak van de WannaCry-ransomware stopte – heeft de ontdekking van Beaumont bevestigd. Hutchins wordt gezien als expert op het gebied van BlueKeep.

Gevreesd scenario komt niet uit

Dat BlueKeep misbruikt zou worden, zat er al enige tijd aan te komen. De kwetsbaarheid werd zoals gezegd in mei ontdekt en in juni was al duidelijk dat criminelen naar de fout in Windows aan het scannen waren. Ze zochten dus naar kwetsbare pc’s.

In juli bleek dat ruim 800.000 systemen nog altijd kwetsbaar waren voor BlueKeep, ook al had Microsoft op 14 mei al een patch voor het probleem uitgebracht. Aan het eind van juli verscheen bovendien een handleiding om de fout te misbruiken.

Toch lijkt de schade tot nu toe relatief gezien mee te vallen. De aanval met de cryptocurrency miner is voor zo ver bekend de eerste. En dat is dus geen worm, zoals gevreesd werd. Onderzoekers waren bang dat er met een worm een aanval zou komen op de schaal van WannaCry of NotPetya.