Ernstig BlueKeep-lek in Windows wordt actief misbruikt

BlueKeep, een gevaarlijke kwetsbaarheid in oudere versies van Microsofts Remote Desktop Protocol (RDP), is voor het eerst in het wild aangetroffen. Hoewel de bug reeds in mei van dit jaar werd gepatcht, zijn nog steeds honderdduizenden Windows-systemen kwetsbaar.

De aanval werd ontdekt door security-onderzoeker Kevin Beaumont en bevestigd als zijnde een BlueKeep-exploit door Marcus Hutchins, de security-onderzoeker die faam verwierf nadat hij de virale verspreiding van de WannaCry-ransomware een halt toe riep.

BlueKeep werd na de ontdekking in mei van dit jaar al snel vergeleken met EternalBlue, de exploit achter WannaCry, omdat de kwetsbaarheid gelijkaardige ‘worm-achtige’ capaciteiten zou hebben. Daardoor kan een exploit zich snel van de ene naar de ander kwetsbare computer verspreiden.

Uitzonderlijke patches

Microsoft achtte de potentiële impact van de RDP-bug zo groot dat het uitzonderlijk patches voor Windows XP en Windows Server 2003 uitrolde, hoewel deze besturingssystemen sinds 2014 niet meer worden ondersteund. Ook Windows 7 en Windows Server 2008/R2 werden gepatcht. Recentere versies van Windows lopen geen risico op besmetting.

Ondanks de waarschuwingen van Microsoft, die in juni nog eens door het Amerikaanse National Security Agency werden herhaald, waren in juli nog zeker 800.000 systemen kwetsbaar. Het lek werd op dat moment evenwel nog niet actief misbruikt. Dat is nu wel het geval, al is de impact voorlopig minder groot dan gevreesd.

Eerste campagne

De campagne die door Beaumont werd ontdekt is al zeker twee weken aan de gang, maar wordt niet als een worm op grote schaal verspreid. De hackers gebruiken een recente demo-exploit van Metasploit en gaan gericht op zoek naar niet-gepatchte Windows-systemen met blootgestelde RDP-netwerkpoorten.

Daarnaast wordt de campagne niet gebruikt om op enige wijze data te compromitteren, maar installeren de aanvallers cryptominers op getroffen systemen. Niets houdt hen evenwel tegen om, eenmaal ze toegang hebben tot een systeem, ook andere malware te installeren.

Het loopt echter nog erg vaak fout. De exploit zorgde op tien van de elf besmette honeypots die Beaumont had draaien voor een Blue Screen of Death (BSOD)-fout. Experts beweren volgens ZDNet al langer dat het bijzonder moeilijk is om een BlueKeep-exploit succesvol uit te voeren, zonder het systeem te laten crashen.

Nog maar het begin

Dat alles neemt niet weg dat dit de eerste poging is om BlueKeep op schaal te implementeren en je kan er donder op zeggen dat meer pogingen zullen volgen. Uiteindelijk zal iemand er wel in slagen om de exploit succesvol te laten werken. Patchen blijft dus het aan te raden advies, voor wie dat nog steeds niet heeft gedaan. Microsofts officiële documentatie daarover vind je hier.

Gebruikers die vandaag nog kwetsbare systemen in gebruik hebben, doen er overigens niet alleen goed aan om de patch uit te voeren, maar ook om hun systeem in zijn geheel te upgraden. Vanaf 14 januari 2020 stopt Microsoft immers met de gratis ondersteuning van Windows 7, en worden niet langer nieuwe beveiligingsupdates beschikbaar gemaakt.