Tool van ESET helpt veiligheid van Windows-apparaten te beoordelen

ESET lanceert een gratis BlueKeep-tool waarmee het mogelijk is te controleren of een computer die op Windows draait veilig is tegen exploitatie van de kwetsbaarheid. Brute-forceaanvallen en het BlueKeep-exploit (CVE-2019-0708) gebruiken rechtstreekse Remote Desktop Protocol-verbindingen (RDP) en laten aanvallers wijdverspreide kwaadaardige activiteiten uitvoeren om de servers van het slachtoffer te misbruiken.

"Al heeft de BlueKeep-kwetsbaarheid, tot op heden, geen wijdverspreide schade aangericht – op dit moment is het nog vroeg in de levenscyclus van de exploitatie", legt Aryeh Goretsky, onderzoeker van ESET, uit. "Het feit blijft dat veel systemen nog steeds niet gepatcht zijn en een versie van die exploit die geautomatiseerd kan worden uitgebuit, nog steeds gevonden kan worden."

Meer aanvallen via RDP

RDP laat een computer verbinding maken met een andere computer via een netwerk om dat netwerk op afstand te gebruiken. De afgelopen twee jaar heeft ESET een groei gezien in het aantal incidenten waarbij aanvallers op afstand verbinding hebben gemaakt met een Windows-server van het internet door RDP te gebruiken.

Aanvallers die ingelogd zijn als de beheerder kunnen vervolgens een verscheidenheid aan kwaadaardige acties uitvoeren, waaronder het downloaden en installeren van programma’s op de server, securitysoftware uitschakelen of data te exfiltreren van de server. Al kan de daadwerkelijke aard van wat aanvallers doen erg verschillen, twee van de meest voorkomende praktijken zijn het installeren van coinmining-programma’s om cryptocurrency te genereren en het installeren van ransomware om geld af te persen van de slachtofferorganisatie.

"Het aantal aanvallen gepleegd met RDP is langzaam, maar zeker aan het stijgen en zijn ook het gespreksonderwerp geweest in een aantal overheidsadviezen in, onder andere, de VS, het Verenigd Koninkrijk, Canada en Australië", zegt Goretsky. "De komst van BlueKeep heeft de deuren wagenwijd geopend voor verdere aanvallen. Deze kwetsbaarheid kan mogelijk evolueren naar een aanval dat zichzelf automatisch over netwerken kan verspreiden, zonder tussenkomst van gebruikers."

Kritieke kwetsbaarheid

Microsoft beoordeelt de BlueKeep-kwetsbaarheid als kritiek in zijn gepubliceerde advies voor klanten. In de National Vulnerability Database van de Amerikaanse overheid krijgt CVE-2019-0708 de score 9,8/10.

"Gebruikers moeten stoppen met via het internet een rechtstreekse verbinding maken met hun servers via RDP. Het is begrijpelijk dat dit voor sommige organisaties moeilijk zal zijn. Echter zal vanaf januari 2020 de ondersteuning voor zowel Windows Server 2008 als Windows 7 ten einde komen en zullen de computers op deze besturingsprogramma’s een risico voor je organisatie vormen. Belangrijk dus om nu al te plannen hoe je deze risico’s kunt mitigeren," raadt Goretsky aan.

Meer informatie over de BlueKeep-kwetsbaarheid, de evaluatietool van ESET en de RDP-aanvalssoorten is beschikbaar in een blog die ESET heeft gepubliceerd. De gratis tool van ESET is hier beschikbaar (exe-bestand)