Onderzoekers van Sophos hebben een proof-of-concept-aanval ontwikkeld, die misbruik maakt van de ernstige BlueKeep-kwetsbaarheid in verschillende oudere versies van Windows. De potentiële impact voor wie nog niet heeft gepatcht, blijkt erg groot.
BlueKeep (CVE-2019-0708) kwam afgelopen mei aan het licht. De kwetsbaarheid laat een aanvaller toe om via Remote Desktop Protocol (RDP) vanop afstand commando’s uit te voeren op een kwetsbaar Windows-systeem, bijvoorbeeld om data te stelen of malware te verspreiden.
Het grote gevaar schuilt erin dat BlueKeep vergelijkbare wormfunctionaliteit heeft als EternalBlue, de kwetsbaarheid die zorgde voor de razendsnelle verspreiding van de WannaCry-ransomware in 2017. Ondanks dat EternalBlue zelfs al voor de uitbraak van WannaCry was gepatcht, zijn nog steeds meer dan een miljoen systemen kwetsbaar.
Ook voor BlueKeep is al een patch beschikbaar. De kwetsbaarheid treft Windows XP, Windows 7, Windows Server 2003 en Windows Server 2008. Hoewel voor sommige van die besturingssystemen de ondersteuningstermijn al geruime tijd is verlopen, schatte Microsoft het risico hoog genoeg in om toch een patch uit te brengen. Windows 8 en 10 zijn niet getroffen.
Proof-of-concept
Op dit moment is er nog geen misbruik in het wild vastgesteld van BlueKeep, al ontdekte Check Point wel reeds dat criminelen actief naar kwetsbare systemen op zoek gaan. Onderzoekers van Sophos hebben de patch van Microsoft ontleed en een proof-of-concept (PoC) ontworpen. De PoC toont aan hoe een aanval kan worden uitgevoerd, zonder dat enige handeling van het slachtoffer nodig is.
Sophos maakt de exploit niet publiek, maar zegt dat het “volledige controle biedt over een systeem op afstand, zonder malware te hoeven inzetten” en ook “geen actieve sessie op het doelwit” vereist. Volgens de securityleverancier stelt zijn PoC een aanvaller in staat om “alles te doen wat de beheerder van een kwetsbare Windows-computer zou kunnen doen met die computer.”
Spray and pray
De kwetsbaarheid is vooral interessant voor aanvallers die alleen maar zo veel mogelijk machines willen infecteren, zonder voorkeur voor wie de slachtoffers zijn. “Een aanval als deze valt in de categorie ‘spray and pray’. De aanvallers zijn niet kieskeurig over wie ze targeten en een bepaald perentage van de machines zal kwetsbaar zijn”, zegt Andrew Brandt, Principal Researcher bij Sophos.
Sophos adviseert dat gebruikers hun kwetsbare systemen zo snel mogelijk patchen en RDP uitschakelen wanneer dit niet nodig is. Gebruikers die met een interne RDP-server moeten verbinden, doen dat liever via een VPN. Machines die RDP-services hosten worden tot slot best via tweestapsverificatie beschermd.