Beheer

Security
wachtwoorden

RDP-exploit oogst in 22 seconden alle wachtwoorden

Een kant-en-klare exploit voor RDP-gat BlueKeep kan versleutelde wachtwoorden stilletjes oogsten op servers.

© CC0,  geralt
6 juni 2019

Een kant-en-klare exploit voor RDP-gat BlueKeep kan versleutelde wachtwoorden stilletjes oogsten op servers.

Een ruwe versie van een exploitmodule voor securitytool Metasploit kan in slechts 22 seconden wachtwoorden buitmaken op kwetsbare Windows-systemen. De nog geheim gehouden Metasploit-module voor BlueKeep doet ongemerkt zijn malwarewerk, zoals het oogsten van versleutelde hashes van opgeslagen wachtwoorden voor andere computers. Vervolgens zijn die versleutelde credentials te kraken en te gebruiken voor diepere netwerkpenetratie. De vrees voor een RDP-worm groeit.

Een security-onderzoeker heeft in een video zijn exploit geshowd voor de grote BlueKeep-kwetsbaarheid in RDP. Die technologie voor het op afstand bedienen van Windows-computers laat met zijn kant-en-klare Metasploit-module onbevoegden binnen op clients én servers. In de demonstratie van de vooralsnog onder de pet gehouden module wordt in luttele seconden diepgaande rechten verkregen op het kwetsbare systeem.

Patchpressie

Het gaat daarbij om Windows Server 2008 R2 (Release 2), wat wereldwijd dienst doet bij vele organisaties. Opvolger Server 2012 is qua marktaandeel pas in april 2017 bijna net zo groot geworden. In januari komend jaar vervalt Microsofts support voor de R2-uitvoering van de 2008-versie, net als voor Windows 7 wat ook kwetsbaar is voor dit RDP-gat.

Afgelopen maand heeft Microsoft dus nog wel een kritieke patch uitgebracht voor deze ernstige RDP-kwetsbaarheid. Vlotte installatie daarvan wordt met klem aangeraden - door Microsoft, security-experts en ook de NSA - omdat de vrees bestaat voor een aankomende worm die deze kwetsbaarheid volautomatisch uitbuit.

De nu openlijk geshowde, maar níet vrijgegeven, Metasploit-module bekrachtigt die vrees. Onderzoeker Sean Dillon van securitybedrijf RiskSense heeft zelf een exploit ontwikkeld in de vorm van een makkelijk bruikbare module voor securityframework Metasploit. Die tool is nuttig voor beheerders, securityprofesionals en pentesters, maar ook voor kwaadwillenden.

Zijwaartse beweging

In de video valt te zien hoe Dillon de diepgaande SYSTEM-rechten op het doelsysteem krijgt. Daarna benut hij mogelijkheid om andere tools te laten uitvoeren op het gehackte systeem om de rijke oogst van wachtwoorden voor andere computers in handen te krijgen. Het gaat hierbij om de krachtige opensourcetool Mimikatz die hashes van wachtwoorden kan benutten om aanvallers verdere toegang te geven binnen netwerken.

Hiermee komt de dreiging van zijwaartse (lateral) beweging in beeld, waarbij cyberinbrekers dan terecht komen op andere systemen in een netwerk. Toegang tot die andere systemen gebeurt dan met valide inloggegevens, dus of het patchniveau op orde is of niet is dan irrelevant. De Metasploit-module is nu nog te gevaarlijk om vrij te geven, maar de eerstkomende mega-worm voor BlueKeep kan daar verandering in brengen.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.