Werkende BlueKeep exploit maakt het overnemen van systemen op afstand mogelijk

Gepubliceerd op 7 september 2019 Leestijd : 1 minuut

De makers van Metasploit hebben op 6 september 2019 een werkende versie van de BlueKeep windows kwetsbaarheid uitgebracht. Er bestonden al diverse PoC’s (Proof-of-concepts), maar de meest recente is geavanceerd genoeg om code execution uit te voeren op externe systemen.

Wat is code execution?

Code execution wil zeggen dat een aanvaller op afstand bepaalde code of commando’s kan laten uitvoeren op de server of workstation om hiermee toegang of controle over het systeem te krijgen.

Wat is BlueKeep?

BlueKeep, ook wel CVE-2019–0708 genoemd is een kwetsbaarheid in het Remote Desktop Protocol (RDP) in wat oudere windows systemen (XP, 2003, 7, 2008 en 2008 R2). Door deze kwetsbaarheid te misbruiken kan een systeem op afstand zonder wachtwoord overgenomen worden.

Waarom moet ik hier iets mee?

Op moment van schrijven zijn er in Nederland 4437 ongepatchde servers geindexeerd door shodan. Shodan is wereldweide zoekmachine die kwetsbare systemen inkaart brengt en dit op een gemakkelijke wijze aanbied aan de gebruiker. Het is dus ook zeer gemakkelijk om op deze manier bedrijven in kaart te brengen en eventueel lekken te misbruiken.

In de security wereld verwachten diverse researchers dat BlueKeep over een niet al te lange tijd omgezet zal worden in een worm (malware) waardoor de worm zichzelf zal gaan verspreiden en mogelijk miljoenen systemen zal infecteren met alle gevolgen van dien.

Gelukkig heeft microsoft hiervoor al patches uitgebracht in mei 2019 en wij adviseren om deze zo snel mogelijk te installeren op zowel werkstations als servers.

#secademy #awareness