I mai meldte Microsoft om en kritisk sårbarhet, senere døpt BlueKeep, som potensielt kunne legge til rette for nye WannaCry-tilstander. Nå melder blant andre ZDNet at sårbarheten brukes til å utføre reelle angrep, noe vi hittil ikke har sett bevis på.
Sikkerhetsforskeren Kevin Beaumont, som ga BlueKeep-sårbarheten sitt navn, skrev i helgen et innlegg på nettstedet Medium hvor han bekrefter at han har oppdaget ondsinnet programvare – «exploits» – som utnytter BlueKeep-hullene.
Satte opp honningkrukker
Oppdagelsen ble gjort via et nettverk av såkalte honningkrukker som sikkerhetsforskeren har satt opp. Honningkrukker er isolerte og overvåkte deler av datasystemer som utgir seg for å være legitime for å tiltrekke seg ondsinnet aktivitet.
Beaumont oppdaget mot slutten av oktober at samtlige av honningkrukkene hans krasjet i form av det berømte «blue screen of death»-fenomenet (BSOD), og begynte dermed å undersøke saken nærmere i samarbeid med den kjente sikkerhetsforskeren Marcus «MalwareTech» Hutchins, som omtalte saken hos Kryptos Logic.
Hutchins var sentral da den beryktede WannaCry-skadevaren ble stoppet.
Etter en grundig teknisk analyse av honningkrukkesystemene, avdekket han ondsinnet kode som utnytter BlueKeep-hullene, men ikke til den type aktivitet som Microsoft tidligere har advart om.
Kryptominer
I stedet for de fryktede dataorm-egenskapene, viste det seg at koden ble brukt til å levere programvare som utvinner kryptovaluta, noe som er er vesentlig mindre alvorlig.
– Selv om denne tilsynelatende aktiviteten er bekymringsfull, forutså datasikkerhetsfellesskapet mye verre potensielle scenarier, skriver Marcus Hutchins.
Sikkerhetsforskeren mener det er underlig at et alvorlig hull som har vært kjent i et halvt års tid, først nå blir utnyttet, men tror årsaken kan være at hackere nøler på grunn av risikoen og fordi man bare har én sjanse til å utnytte hullet i stor skala.
Både Microsoft og det amerikanske etterretningsbyrået NSA kom med sterke advarsler etter at BlueKeep-sårbarhetene ble kjent. NSA mente det bare var et tidsspørsmål før angrepskode var på plass, og senere meldte det amerikanske sikkerhetsdepartementet at de hadde lykkes i å lage fungerende angrepskode.
Mange datamaskiner er fremdeles utsatt, og så sent som i august i år kom Microsoft på nytt med BlueKeep-advarlser og oppfordringer om å oppdatere de berørte Windows-utgavene, det vil si Windows 7, Windows Server 2008 og Windows Server 2008 R2.
Les også: De fleste virksomheter har trolig installert BlueKeep-oppdateringen »
