Les chercheurs en sécurité ont repéré la première campagne d’attaques utilisant l’exploit BlueKeep. Cependant, la vulnérabilité n’est pas utilisé par un ver : c’était le scenario dont Microsoft avait peur en mai dernier lorsque l’éditeur a émis un avertissement et a exhorté les utilisateurs à appliquer le patch.
Mais un groupe de hackers a préféré utiliser un exploit Bluekeep de démonstration implémenté par l’équipe de Metasploit en septembre dernier pour pirater des systèmes Windows vulnérables et installer un mineur de cryptomonnaie.
Cette campagne d’attaques se déroule à grande échelle et dure depuis près de deux semaines, mais n’a été repérée que récemment par Kevin Beaumont, expert en cybersécurité.
L’expert en sécurité britannique explique avoir trouvé les exploits dans des journaux enregistrés par des réseaux honey pots qu’il avait mis en place des mois auparavant et qu’il avait oublié. Les premières attaques remontent au 23 octobre, explique Beaumont à ZDNet.
La découverte de Beaumont a été confirmée par Marcus “MalwareTech” Hutchins, le chercheur en sécurité qui a stoppé l’épidémie de WannaCry, et qui est un expert reconnu dans l’exploit BlueKeep.
Plus de peur que de mal
Les attaques découvertes par Beaumont sont loin d’avoir l’ampleur des attaques que Microsoft redoutait en mai dernier. La société avait alors comparé BlueKeep à EternalBlue, la vulnerabilité au cœur des épidémies de ransomware WannaCry, NotPetya et Bad Rabbit en 2017.
Les ingénieurs de Microsoft étaient terrifiés à l’idée que BlueKeep puisse déclencher une autre épidémie de logiciels malveillants qui se propagerait d’un système non patché à un autre.
Cependant, cette première campagne n’utilise pas de fonctionnalités autoreplicantes, semblables à celles d’un ver. Au lieu de cela, les pirates semblent chercher des systèmes Windows avec des ports RDP laissés exposés sur Internet, déployer l’exploit BlueKeep Metasploit, et plus tard un mineur de cryptomonnaie.
FWIW, re:#BlueKeep we’re seeing a small uptick in 3389 related traffic at the @RenditionSec SOC, but not consistent with a worm. I would guess either: 1. It’s not a worm 2. Enough machines have been patched or the exploit is too unreliable for a worm to reach critical mass — Jake Williams (@MalwareJake) November 2, 2019
It looks like a #BlueKeep worm has finally arrived! Kevin kindly sent me a crash dump and after some investigation I found BlueKeep artifacts in memory and shellcode to drop a Monero Miner. https://t.co/7G88YAW5lr — MalwareTech (@MalwareTechBlog) November 2, 2019
Mais ces attaques BlueKeep ne semblent pas fonctionner. Beaumont a dit à ZDNet que les attaques ont fait crasher 10 des 11 honeypots qu’il controlait. Cela montre que le code d’exploitation de l’attaquant ne fonctionne pas comme prévu.
Cela correspond à ce que la plupart des experts ont dit à propos de BlueKeep au cours des derniers mois. L’exploit BlueKeep peut avoir des conséquences dévastatrices, mais il est difficile de faire fonctionner un exploit sans faire planter l’OS avec une erreur BSOD (Blue Screen of Death).
La personne ou le groupe à l’origine des récentes attaques ne semble pas disposer du savoir-faire nécessaire pour modifier avec succès l’exploit de démonstration BlueKeep publié par l’équipe de Metasploit en septembre dernier, ce qui est une bonne chose. Cependant, certaines de leurs attaques ont réussi.
Ce que nous pouvons constater aujourd’hui, c’est qu’un acteur malveillant tente d’exploiter de façon malveillante une vulnerabilité dangereuse afin de toucher des cibles multiples, et non dans le cadre d’une attaque ciblée.
Mais ZDNet est également conscient que d’autres pirates ont utilisé BlueKeep dans des attaques plus ciblées, et l’ont utilisé avec succès.
A l’avenir, on peut envisager qu’un acteur malveillant parvienne à utiliser Bluekeep avec succés et cela devrait donner lieu a des vagues d’attaques plus frequentes. Il y a des chances pour qu’il soit toujours utilisé pour extraire la cryptomonnaie, EternalBlue est encore fréquemment utilisé dans ce genre d’attaques.
Informations sur le patch
BlueKeep BlueKeep est le surnom donné à CVE-2019-0708, une vulnérabilité du service Microsoft RDP (Remote Desktop Protocol). Elle affecte :
Windows 7
Windows Server 2008 R2
Windows Server 2008
Les correctifs sont disponibles depuis le mois de mai 2019. Voir l’avis officiel de Microsoft.
Une première démo publique de BlueKeep a été publiée en septembre dernier par le framework de tests d’intrusion Metasploit. Il a été publié pour aider les administrateurs système à tester les systèmes vulnérables, mais il peut également être réutilisé par des acteurs malveillants.
Des dizaines d’autres exploits privés ont été developpés depuis juin, développés par des sociétés de cybersécurité, mais sont restés privés afin d’éviter d’aider les attaquants. Bien qu’ayant des mois pour patcher les systèmes, le nombre des systèmes Windows accessibles au public qui exposent un terminal RDP en ligne et qui sont vulnérables à BlueKeep est d’environ 750 000. Ces scans n’incluent pas les systèmes à l’intérieur des réseaux privés, derrière des pare-feu.
Article “BlueKeep attacks are happening, but it’s not a worm” traduit et adapté par ZDNet.fr
Comments