Un exploit de sécurité appelé BlueKeep est dans la nature. Les observateurs de sécurité sur de nombreux sites ont tous signalé que les chercheurs avaient repéré des preuves d'exploitation. HotHardware a déclaré que jusqu'à présent, les signes étaient que les machines affectées étaient utilisées pour extraire la crypto-monnaie.

(Le bogue dans le protocole de bureau à distance de Microsoft, mentionné Filaire , "permet à un pirate d'obtenir l'exécution complète du code à distance sur des machines non corrigées.")

Davey Winder. qui couvre la cybersécurité, dit aux lecteurs dans Forbes :La vulnérabilité BlueKeep qui existe dans les versions non corrigées de Windows Server 2003, Windows XP, Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2 ont pris une nouvelle nouvelle :« il est maintenant confirmé qu'une attaque d'exploit BlueKeep est actuellement en cours.

Comme Filaire mentionné, les chercheurs ont trouvé des preuves "que leurs soi-disant pots de miel - des machines à appâts conçues pour aider à détecter et à analyser les épidémies de logiciels malveillants - sont compromis en masse à l'aide de la vulnérabilité BlueKeep".

Paul Lilly dans HotHardware a déclaré que le chercheur en sécurité Kevin Beaumont avait remarqué "plusieurs pots de miel dans son réseau EternalPort RDP se bloquent et redémarrent".

De retour en juillet, Lilly avait publié un rapport selon lequel les chercheurs en sécurité de Sophos avaient créé une démonstration de validation de concept montrant à quel point il serait facile pour un serveur RDP (Remote Desktop Protocol) non corrigé d'être compromis par BlueKeep, un bogue Windows. À l'époque, les chercheurs espéraient que la démo effrayerait les entreprises pour qu'elles corrigent Windows.

Donc, Avance rapide jusqu'à ce mois-ci. Quelle est la cible de BlueKeep ? Andy Greenberg dans Filaire a déclaré que "le piratage généralisé de BlueKeep installe simplement un mineur de crypto-monnaie, puiser la puissance de traitement d'une victime pour générer de la crypto-monnaie."

Non pas que les experts en sécurité n'aient pas vu cela venir. Forbes a fourni un compte rendu des événements.

« Le 4 juin, " a écrit Winder, « La National Security Agency (NSA) a pris la décision inhabituelle de publier un avis exhortant les administrateurs de Microsoft Windows à mettre à jour leur système d'exploitation ou à risquer un « impact dévastateur » et « de grande envergure » ​​face à une menace croissante.

"Cet avertissement a été donné encore plus grave le 17 juin lorsque le gouvernement américain, via l'Agence de la cybersécurité et de la sécurité des infrastructures (CISA), a émis une alerte d'activité « mettre à jour maintenant ». A peu près en même temps, les chercheurs en sécurité prédisaient qu'un exploit BlueKeep "dévastateur" n'était que dans quelques semaines."

Maintenant que nous sommes en novembre, Kryptos Logic a trouvé curieux "que cette vulnérabilité wormable connue du public, connu de tous ceux qui voudraient le savoir depuis au moins six mois, a pris autant de temps pour devenir une arme détectable. On pourrait supposer que les attaquants savent qu'ils ont essentiellement une chance de l'utiliser à grande échelle, et cela devient un jeu de poule quant à savoir qui le fera en premier."

Lilly a déclaré que la bonne nouvelle ici est qu'elle ne s'est pas propagée.

Menace partagé son observation. "Les premières attaques qui exploitent la vulnérabilité zero-day de Windows installent des cryptomineurs et recherchent des cibles plutôt qu'un ver avec le potentiel WannaCry." Menace ont trouvé que les attaques étaient « au départ décevantes, " pas aussi mauvais qu'il aurait pu l'être. Filaire expliqué, Plutôt qu'un ver qui saute sans aide d'un ordinateur à l'autre, ces attaquants semblent avoir analysé Internet à la recherche de machines vulnérables à exploiter."

Kryptos Logic a conclu que l'activité alléguée était préoccupante, {le blog Kryptos Logic a publié un fil Twitter signalant les BSOD, écrans bleus de la mort, à travers le réseau de BlueKeep Honeypots de Beaumont] mais considère que la communauté de la sécurité de l'information avait prédit des scénarios potentiels pires.

« Sur la base de nos données, nous ne constatons pas de pic d'analyse indiscriminée sur le port vulnérable comme nous l'avons vu lorsque EternalBlue a été vermifugé sur Internet dans ce qui est maintenant connu sous le nom d'attaque WannaCry. »

Plutôt, dit Kryptos Logic, il semblait probable qu'"un acteur de bas niveau a analysé Internet et infecté de manière opportuniste des hôtes vulnérables à l'aide d'utilitaires de test de pénétration prêts à l'emploi".

Elisabeth Montalban dans Menace , néanmoins, a résumé pourquoi « cela ne signifie pas que les administrateurs de sécurité peuvent dormir tranquilles pour le moment. Ces performances initiales médiocres pourraient représenter davantage le manque de sophistication des pirates informatiques que la nature de la vulnérabilité elle-même, les observateurs ont noté.

Greenberg a également préféré ne pas oublier les scénarios potentiels, des machines frappées par un échantillon de malware plus grave et plus virulent qui exploite la vulnérabilité RDP persistante de Microsoft. "Cela pourrait prendre la forme d'un ver ransomware dans le modèle de NotPetya ou encore de WannaCry, qui a infecté près d'un quart de million d'ordinateurs lors de sa propagation en mai 2017, causant entre 4 et 8 milliards de dollars de dégâts."

© 2019 Réseau Science X