SIKKERHET

Rekognoseringen etter systemer med BlueKeep-sårbarheten har trolig startet

Nær en million enheter ligger ubeskyttet på nettet.

Ondsinnede har trolig allerede begynt rekognoseringen etter datamaskiner hvor BlueKeep-sårbarheten kan utnyttes.
Ondsinnede har trolig allerede begynt rekognoseringen etter datamaskiner hvor BlueKeep-sårbarheten kan utnyttes. Foto: Colourbox
Harald BrombachHarald BrombachNyhetsleder
31. mai 2019 - 08:29

Den 14. mai kom Microsoft med en svært viktig sikkerhetsfiks til en kritisk sårbarhet som finnes i noen av de litt eldre Windows-versjonene som fortsatt er i bruk, blant annet Windows 7. Denne var ledsaget av et blogginnlegg hvor det advares om at sårbarheten kan åpne for skadevare med ormefunksjonalitet, altså evne til å spre seg til stadig nye enheter, uten at brukerne av systemene behøver å gjøre noe. 

Microsoft frykter at sårbarheten, som senere har fått navnet BlueKeep, kan føre til en ny, WannaCry-lignende pandemi. 

Det er derfor at viktig at alle med Windows 7/Windows Server 2008 R2 eller eldre, installerer sikkerhetsfiksen så raskt som mulig. Den er også tilgjengelig for Windows XP og Windows Server 2003.

Brukte fire uker på å lage WannaCry

Foreløpig er det ingenting som tyder på at noen reell skadevare som utnytter BlueKeep, har blitt utviklet, men ifølge Bleeping Computer har flere anerkjente sikkerhetsselskaper greid å lage konseptbevis som utnytter sårbarheten. Det er derfor all grunn til å tro at også ondsinnede kan ha lykkes med dette. 

Tidsskjemaet for WannaCry kan fortelle litt om hvor raskt skadevare kan bli utviklet. WannaCry er delvis basert på det angrepsvåpenet EternalBlue, som antas å ha blitt utviklet av NSA. Dette ble lekket av Shadow Brokers den 14. april 2017. Fire uker senere, den 12. mai, ble de første datamaskinene angrepet av WannaCry.

Dersom en utnyttelse av BlueKeep følger et tilsvarende tidsskjema, vil det skje et angrep rundt den 11. juni i år. Det kan selvfølgelig skje både tidligere, senere eller ikke i det hele tatt. 

Rekognosering?

Interessen ser uansett ut til å være der. I helgen som var meldte GreyNoise Intelligence på Twitter at selskapet hadde observert skanning hvor det letes etter internettilknyttede enheter hvor port 3389, som brukes av Remote Desktop Service, er åpen. Det er i denne tjenesten sårbarheten ligger. 

Ifølge GreyNoise Intelligence ble skanningen gjort fra flere dusin enheter, som alle kommuniserte via Tor-nettverket. Det antas at samme aktør stod bak samtlige enheter. Det kan selvfølgelig ha dreid seg forskning utført av en vennligsinnet aktør, i tråden under Twitter-innlegget til GreyNoise Intelligence mener flere at en uansett bør gå ut fra at det dreier seg om rekognosering.

Nær en million enheter

Potensialet for vidstrakt spredning med et slikt angrep, er stort. Ifølge Errata Security viste en fersk skanning på internett at det finnes rundt 950.000 sårbare enheter som er direkte tilgjengelige for absolutt alle via port 3389 over internett. Dette er Windows-enheter som ikke har blitt oppdatert. 

Det ble også funnet drøyt 1,4 millioner andre enheter på internett som svarer på Remote Desktop-protokollen på en pålitelig måte, og som er eller ser ut til å være Windows-enheter. Disse har enten allerede blitt patchet, eller så har de ikke vært sårbare i utgangspunktet. 

Springbrett

Det er selvfølgelig de sårbare systemene som er mest utsatt, men når de først har blitt infisert, kan de potensielt fungere som en slags springbrett for angrep videre inn i virksomhetens lokalnett, dersom det sårbare systemet er tilknyttet dette. 

Ifølge Errata Security gjelder dette spesielt dersom en domeneadministrator er innlogget på maskinen. Da kan ormen få tak i administratorens innloggingsinformasjon og bruke den til å logge seg inn på domenekontrolleren i nettverket. 

Fra domenekontrolleren kan skadevaren benytte legitime verktøy som Management Instrumentation Command Line (WMIC) eller psexec.exe til å få tilgang til andre enheter i nettverket.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

– Det er dette som skjedde med NotPetya. Den faktiske sårbarheten var ikke problemet. Det var psexec som var problemet, skriver Errata Security

Mikropatch

For at sikkerhetsfiksen som Microsoft kom med for to uker siden skal fungere, kreves det at systemet startes på nytt. I en del tilfeller er det ikke aktuelt å gjøre en omstart av systemet med første. 

Det enkleste da er nok å skru av hele støtten for Remote Desktop, noe som gjør at sårbarheten ikke kan utnyttes. Men heller ikke dette er en aktuell løsning for alle.

En annen løsning er en såkalt 0patch som skal uskadeliggjøre BlueKeep-sårbarheten uten at systemet må startes på nytt. I alle fall foreløpig er denne løsningen bare tilgjengelig for 32 bit Windows XP SP3 og 64 bits Windows Server 2003.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.