Beheer

Security
BlueKeep-presentatie

Windows-gevaar van BlueKeep-exploit plots veel groter

Dreiging van RDP-gat BlueKeep in Windows is ineens acuut: werkende exploit uitgelegd.

© 0xeb_b
24 juli 2019

Dreiging van RDP-gat BlueKeep in Windows is ineens acuut: werkende exploit uitgelegd.

Het gevaar van het recent gepatchte gat in Windows' RDP-implementatie (Remote Desktop Protocol) is nu plots groter geworden. Dit door nieuwe onthulling van details over hoe deze kwetsbaarheid valt te misbruiken om kwaadaardige code op afstand uit te voeren. Patches zijn er dus al wel, maar deze zijn nog niet universeel geïnstalleerd.

Zowel Windows-maker Microsoft als inlichtingendienst NSA hebben al gewaarschuwd voor de kritieke kwetsbaarheid BlueKeep (CVE-2019-0708). Beide partijen dringen met klem aan op het installeren van de patches die in mei zijn uitgebracht om dit RDP-gat te dichten. De noodzaak daartoe is nu flink toegenomen, doordat een Chinese security-onderzoeker details heeft vrijgegeven over een van de complexere stappen voor succesvol misbruik van BlueKeep.

Presentatie en exploitcode

De details bestaan uit een presentatie die afgelopen week zou zijn gegeven op een securityconferentie én uit incomplete code voor een werkende exploit. Het zou voor kenners geen groot probleem zijn om die exploitcode aan te vullen en zo om te zetten in kant-en-klaar bruikbare aanvalsmiddelen. Dit is de meest gedetailleerde uitleg over BlueKeep die tot op heden publiekelijk beschikbaar is.

In de Chineestalige presentatie wordt de RDP-uitleg ingeleid met vermelding van de kwetsbare Windows-versies XP, Server 2003, 7 en Server 2008 R2. Die twee laatstgenoemde Microsoft-platformen zijn in de praktijk nog flink in gebruik. Officieel krijgen XP en Server 2003 geen ondersteuning en dus updates meer van Microsoft. De dreiging van BlueKeep is echter dusdanig groot dat in mei ook patches voor die twee verlaten Windows-versies zijn uitgebracht.

Wormgevaar doemt op

Producent Microsoft heeft eerder verklaard dat nieuwere versies van Windows niet vatbaar zijn voor BlueKeep. Verderop in de nu geopenbaarde presentatie over het grote RDP-gat worden ook Windows 8, Server 2012 en Windows 10 genoemd. Het is echter niet duidelijk of de daarna aangedragen voorbeelden van exploitcode ook op die recentere versies van toepassing is. In reactie op deze onthulling van details zouden andere onderzoekers hun eigen bevindingen nu ook openbaar maken, wat 'de puzzel' makkelijker maakt voor kwaadwillenden.

Het grote gevaar is dat BlueKeep wordt verwerkt in malware die zichzelf volautomatisch verder verspreidt in netwerken. Daarmee zou deze RDP-kwetsbaarheid een nieuwe generatie Windows-wormen brengen, die grote schade kunnen aanrichten. Begin deze eeuw hebben beruchte wormen als Slammer, Blaster en Sasser al voor vele miljoenen aan schade gezorgd. Huidige economisch gerichte cybercriminaliteit - en eventueel ook politiek gemotiveerde cybersabotage - zou veel grotere gevolgen kunnen hebben.

'Al beschikbaar'

De nu geopenbaarde uitleg en code geven vooralsnog geen betrouwbare methode om eigen code op afstand uit te voeren. Soms kan de exploitcode leiden tot crashes bij kwetsbare systemen, in plaats van het voor kwaadwillenden veel waardevollere geval van remote code execution (RCE). In de bijbehorende Engelstalige uitleg (PDF) die op ontwikkelaarsite GitHub is geplaatst, geeft security-onderzoeker 0xeb_b aan dat hij zijn exploitwerk nu openbaart om kennis te verspreiden. "De informatie die hierin is vervat, is al grotendeels beschikbaar in de Chinese hackergemeenschap", claimt hij.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.