Onderzoekers van ESET raden aan om Internet Remote Desktop Protocol-verbindingen te blokkeren en zo mogelijke schade door BlueKeep en andere exploits te voorkomen.

Advertentie

ESET heeft zopas een gratis BlueKeep-tool (CVE-2019-0708) vrijgegeven om te controleren of een computer waarop Windows draait veilig is tegen misbruik van de kwetsbaarheid. ‘Brute-force’-aanvallen en de BlueKeep-exploit gebruiken rechtstreekse Remote Desktop Protocol (RDP) –verbindingen en laten aanvallers grootschalige kwaadaardige activiteiten uitvoeren door de servers van het slachtoffer te misbruiken.

 

“Hoewel de BlueKeep-kwetsbaarheid tot nu toe geen grote schade heeft aangericht, zijn we slechts aan het begin van zijn levenscyclus,” verduidelijkt Aryeh Goretsky, vooraanstaande onderzoeker bij ESET. “Veel systemen zijn echter nog niet gepatcht en een grondig wormbare versie van de exploit kan nog steeds gevonden worden”, voegt hij eraan toe.

 

Met RDP kan een verbinding tussen computers gemaakt worden via een netwerk om dat op afstand te gebruiken. In de afgelopen twee jaar heeft ESET steeds meer incidenten waargenomen waarbij de aanvallers op afstand verbinding maakten met een Windows-internetserver door middel van RDP. De aanvallers loggen in als beheerders en kunnen vervolgens verschillende kwaadaardige acties uitvoeren waaronder het downloaden en installeren van programma’s op de server, het uitschakelen van beveiligingssoftware of het exfiltreren van servergegevens. Hoewel de precieze aard van wat aanvallers kunnen doen zeer uiteenlopend kan zijn, zijn twee van de meest voorkomende praktijken het installeren van muntenextractieprogramma’s, om cryptocurrencies te genereren en ransomware te installeren en zo geld van de organisatie af te persen.

 

“De aanvallen uitgevoerd met RDP kennen een langzame maar regelmatige groei en werden het onderwerp van een aantal overheidsmededelingen in de Verenigde Staten, het Verenigd Koninkrijk, Canada en Australië, om er slechts enkele te noemen,” vertelt Goretsky. De komst van BlueKeep hebben de poorten geopend waardoor nieuwe aanvallen mogelijk werden. “Deze kwetsbaarheid zou wormbaar kunnen worden, wat betekent dat een aanval zich automatisch over netwerken kan verspreiden zonder tussenkomst van gebruikers”, waarschuwt Goretsky.

 

Microsoft heeft in zijn klantenrichtlijnen (published guidance for customers) de BlueKeep- kwetsbaarheid het niveau van Kritiek toegewezen, wat het meest ernstige is. In de database met kwetsbaarheden van de Amerikaanse overheid kreeg de CVE-2019-0708 een score van 9,8 op 10.

 

“Gebruikers moeten niet langer rechtstreeks op hun servers aansluiten via het internet met behulp van RDP. Dit kan problematisch zijn voor sommige bedrijven. Daar de ondersteuning voor Windows Server 2008 en Windows 7 in januari 2020 eindigt, vormen computers met deze programma’s een risico voor het bedrijf. Men moet nu al maatregelen treffen om deze risico’s te verminderen, ” beveelt Goretsky aan.

 

Voor meer informatie over de  BlueKeep-kwetsbaarheid, de beoordelingstool van ESET en de soorten Remote Desktop Protocol-aanvallen, lees de blog “It’s time to disconnect RDP from the internet” op WeLiveSecurity.com . Volg ook ESET Research on Twitter voor de nieuwste berichten van ESET Research.

Advertentie