BLUEKEEP

BlueKeep-sårbarheten brukes nå til å utføre angrep – men ikke slik som først fryktet

Foreløpig ingen orm.

Illustrasjonsbilde.
Illustrasjonsbilde. Skjermbilde: Harald Brombach
4. nov. 2019 - 11:49

I mai meldte Microsoft om en kritisk sårbarhet, senere døpt BlueKeep, som potensielt kunne legge til rette for nye WannaCry-tilstander. Nå melder blant andre ZDNet at sårbarheten brukes til å utføre reelle angrep, noe vi hittil ikke har sett bevis på.

Sikkerhetsforskeren Kevin Beaumont, som ga BlueKeep-sårbarheten sitt navn, skrev i helgen et innlegg på nettstedet Medium hvor han bekrefter at han har oppdaget ondsinnet programvare – «exploits» – som utnytter BlueKeep-hullene.

Satte opp honningkrukker

Oppdagelsen ble gjort via et nettverk av såkalte honningkrukker som sikkerhetsforskeren har satt opp. Honningkrukker er isolerte og overvåkte deler av datasystemer som utgir seg for å være legitime for å tiltrekke seg ondsinnet aktivitet.

Beaumont oppdaget mot slutten av oktober at samtlige av honningkrukkene hans krasjet i form av det berømte «blue screen of death»-fenomenet (BSOD), og begynte dermed å undersøke saken nærmere i samarbeid med den kjente sikkerhetsforskeren Marcus «MalwareTech» Hutchins, som omtalte saken hos Kryptos Logic.

Windows må oppdateres etter funn av flere kritiske sårbarheter.
Les også

BlueKeep er tilbake og truer nye Windows-maskiner. Microsoft advarer og ber kundene oppdatere nå

Hutchins var sentral da den beryktede WannaCry-skadevaren ble stoppet.

Etter en grundig teknisk analyse av honningkrukkesystemene, avdekket han ondsinnet kode som utnytter BlueKeep-hullene, men ikke til den type aktivitet som Microsoft tidligere har advart om.

Kryptominer

I stedet for de fryktede dataorm-egenskapene, viste det seg at koden ble brukt til å levere programvare som utvinner kryptovaluta, noe som er er vesentlig mindre alvorlig.

– Selv om denne tilsynelatende aktiviteten er bekymringsfull, forutså datasikkerhetsfellesskapet mye verre potensielle scenarier, skriver Marcus Hutchins.

Sikkerhetsforskeren mener det er underlig at et alvorlig hull som har vært kjent i et halvt års tid, først nå blir utnyttet, men tror årsaken kan være at hackere nøler på grunn av risikoen og fordi man bare har én sjanse til å utnytte hullet i stor skala.

Både Microsoft og det amerikanske etterretningsbyrået NSA kom med sterke advarsler etter at BlueKeep-sårbarhetene ble kjent. NSA mente det bare var et tidsspørsmål før angrepskode var på plass, og senere meldte det amerikanske sikkerhetsdepartementet at de hadde lykkes i å lage fungerende angrepskode.

Mange datamaskiner er fremdeles utsatt, og så sent som i august i år kom Microsoft på nytt med BlueKeep-advarlser og oppfordringer om å oppdatere de berørte Windows-utgavene, det vil si Windows 7, Windows Server 2008 og Windows Server 2008 R2.

Les også: De fleste virksomheter har trolig installert BlueKeep-oppdateringen »

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.