image

Grootschalig misbruik BlueKeep-lek verwacht door online uitleg

dinsdag 23 juli 2019, 14:43 door Redactie, 3 reacties

De Britse beveiligingsonderzoeker Marcus Hutchins heeft via Twitter gewaarschuwd voor grootschalig misbruik van de BlueKeep-kwetsbaarheid in Windows nadat iemand uitgebreide details over het beveiligingslek online heeft gezet. De uitleg kan het eenvoudiger maken om een exploit te ontwikkelen.

De afgelopen weken maakten verschillende onderzoekers en securitybedrijven melding dat ze een exploit hadden ontwikkeld om via BlueKeep kwetsbare computers op afstand over te nemen. De kwetsbaarheid is aanwezig in de Remote Desktop Services van Windows XP, Server 2003, Windows 7 en Server 2008. Nieuwere Windowsversies zijn niet kwetsbaar.

Het beveiligingslek werd in mei door Microsoft gepatcht, maar meer dan 800.000 computers hebben de update ondanks waarschuwingen van overheidsinstanties uit allerlei landen nog altijd niet geïnstalleerd. Er zijn echter nog geen aanvallen in het wild waargenomen. Met de nu online verschenen uitleg kan dat veranderen. Het maakt het namelijk eenvoudiger voor aanvallers om een exploit te ontwikkelen.

"De moeilijkheidsgraad komt voornamelijk door de noodzaak om het RDP-protocol te reverse engineeren om te zien hoe een heap spray is uit te voeren", zegt Hutchins tegenover Ars Technica. "De auteur legt dit allemaal uit, dus het enige dat echt nodig is, is het implementeren van het RDP-protocol en zijn uitleg volgen. Alleen basaal begrip is voldoende. Wat waarschijnlijk zal gebeuren nu de lat lager is gelegd, is dat meer mensen misbruik van het lek kunnen maken, en er meer kans is dat iemand volledige exploitcode openbaar maakt."

Hutchins krijgt bijval van Jake Williams, die in het verleden exploits voor de Amerikaanse geheime dienst NSA ontwikkelde en zelf een BlueKeep-exploit schreef. "Het is de meest uitgebreide technische documentatie die tot nu online is verschenen", laat hij weten. Toch denkt Williams dat de nu verschenen uitleg er niet voor zorgt dat minder kundige exploitschrijvers nu een crashvrije exploit kunnen ontwikkelen. Volgens Hutchins maakt dat niet uit voor aanvallers die bijvoorbeeld sabotage of ontregeling als doel hebben.

Image

Reacties (3)
23-07-2019, 16:05 door Anoniem
Ja steeds weer dat moeilijke balanceren tussen "security through obscurity" aan de ene kant
en responsible disclosure en/of full disclosure aan de andere kant.

Dat nu ineens slimme script kiddies zich gaan opwerken tot geavanceerde hacker-aanvallers betwijfel ik.
Daar is kunde, vaardigheid en vooral ervaring voor vereist.

Het kan omgekeerd ook ethische hackers in de kaart spelen of beveiligingsontwerpers.

Wat men hier vreest, dat doe je niet zomaar met een shodan dorkje, automatisch scriptje en een handig POC-je.

Men had beter meer inspanningen kunnen doen om dit soort van NSA e.a. leukigheidjes beter te kunnen pareren.

Geef verdedigers goede opsporingstools - script sentry achtig gereedschap, die gelijk alarm slaan.
Linters en fuzzers en weet wat nog.

Liever vijf keer een vals alarm af laten gaan, dan een keer te laat of als de gehele av wereld al op de definities reageert.

Zeg nu zelf, doet men dit zich in vele gevallen niet zichzelf aan?
Wie verdient ook wederom weer hieraan bergen geld?

#sockpuppet
23-07-2019, 16:22 door Anoniem
Misschien dat een link naar het artikel ook leuk had geweest. Ik hou immers wel van zo'n technische informatie.
24-07-2019, 13:05 door Anoniem
Is toch aangegeven: https://github.com/blackorbird/APT_REPORT/tree/master/exploit_report

Wel even doorklikken en zelf zoeken a.u.b. Google is your best friend as always.
Tencent keen lab daar vind je het rapport als pdf bestand.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.