Het Amerikaans cyberbeveiligingsbedrijf Immunity heeft zijn werkende exploit voor de Windows BlueKeep-kwetsbaarheid commercieel beschikbaar gemaakt. BlueKeep wordt gezien als de volgende grote beveiligingsbedreiging, die de betekenis van WannaCry kan evenaren.
Immunity kondigde met een demonstratievideo op Twitter aan dat zijn exploit zou worden opgenomen in zijn tienduizenden dollar kostende Canvas-toolkit. Het is het eerste exemplaar van een werkende exploit voor de bug, die wordt verkocht. Als BlueKeep in verkeerde handen valt, kunnen de gevolgen catastrofaal zijn, aldus IT Pro.
Remote Code Execution (RCE)
BlueKeep is een worm-achtige Remote Code Execution (RCE)-kwetsbaarheid, die aanvallers de hoogst mogelijke rechten op een Windows-systeem kan geven. De kwetsbaarheid werd ontdekt in mei 2019, waarna Microsoft meteen een noodpatch uitbracht. Ook voor oude besturingssystemen die het einde van hun levensduur hadden bereikt. Het beveiligingslek is aangetroffen in de RDP-service (Remote Desktop Protocol) in veel oude versies van Windows, waaronder Windows 7, Windows Vista en Windows XP. Gebruikers van Windows 10 zouden niet kwetsbaar zijn voor BlueKeep.
“Deze kwetsbaarheid is geen grap. BlueKeep heeft alles in zich om de volgende WannaCry of NotPetya te worden. Patch nu voordat het te laat is”, zegt Bob Huber, CSO van Tenable, tegenover IT Pro.
Kritieke infrastructuur
BlueKeep kan niet worden geëxploiteerd als gebruikers hun systemen hebben gepatcht. Probleem is alleen dat kritieke infrastructuur nog steeds afhankelijk is van oudere Windows-besturingssystemen. Denk dan aan bepaalde ziekenhuisapparatuur, die software gebruikt die niet compatibel is met de huidige en veiligere versies van Windows.
“Alleen omdat er een patch beschikbaar is, betekent niet dat alle bedrijven in staat zijn om onmiddellijk te patchen. Patchen kan een complexe procedure zijn in bepaalde omgevingen en kan lang duren”, constateert Javvad Malik, advocaat voor beveiligingsbewustzijn bij KnowBe4.
Telecomsector meest vatbaar
Volgens onderzoekers is niet de zorgsector, maar de telecomsector het meest kwetsbaar voor BlueKeep. Meer dan welke andere industrie dan ook. Dat werd duidelijk toen nationale veiligheidsinstanties over de hele wereld, waaronder de NSA en de FBI , hun eigen waarschuwingen rondom de gevaren van BlueKeep openbaarden.
Telecombedrijven zouden vaak eindklantsystemen hosten, die ze zelf niet kunnen upgraden. In deze zijn het niet de bedrijven, maar hun klanten die hun patchbeheer up-to-date moeten houden om veilig te blijven.
800.000 getroffen systemen
Na de ontdekking van BlueKeep werd het aantal getroffen systemen wereldwijd geschat op ongeveer een miljoen. Uit onderzoek van BitSight eerder deze maand bleek dat er niet veel was gedaan om het aantal getroffen systemen te verminderen. Het aantal getroffen systemen ligt vandaag de dag nog rond de 800.000.
Naast Immunity beweren ook andere beveiligingsgroepen een werkende exploit voor BlueKeep te hebben gecreëerd. Anders dan Immunity weigeren deze partijen hun code vrij te geven uit angst dat het in verkeerde handen valt.
Gerelateerd: Criminelen scannen naar Bluekeep-kwetsbaarheid in Windows