BlueKeeps erster Auftritt in freier Wildbahn wurde aufgezeichnet

Gestern wurden Informationen über Versuche veröffentlicht, BlueKeep (CVE-2019-0708), eine kritische RCE-Sicherheitsanfälligkeit in Windows, auszunutzen, um den Monero Crypto Miner zu installieren. Der Forscher Kevin Beamount hat getwittert, dass mehrere Hosts aus seinem Netzwerk von RDP-Hanipots im BSOD-Bundesstaat geblieben sind und ihre kombinierte Betriebszeit bis zu diesem Zeitpunkt fast 6 Monate alt war.

Die Analyse des Absturzabbaus des Arbeitsspeichers ermöglichte es, Spuren zu erkennen
Ein Shellcode zum Herunterladen und Ausführen eines Cryptominer von einem Remote-Server durch Ausführen eines Powershell-Skripts. Gleichzeitig ist dieser Shellcode identisch mit dem Shellcode des BlueKeep-Moduls im Metasploit-Projekt.



Im Folgenden finden Sie eine allgemeine Historie der Ereignisse, die mit dieser Sicherheitsanfälligkeit verbunden sind.



Es ist erwähnenswert, dass die letzte Woche festgestellte Aktivität der zweite bekannte Versuch von Cyberkriminellen ist, Code aus der Öffentlichkeit in Bezug auf BlueKeep in ihre Projekte aufzunehmen. Wir erinnern daran, dass Ende Juli bekannt wurde, dass der Lunix Malware Watchbog über ein Modul zum Scannen von Systemen verfügt, die für BlueKeep anfällig sind.

Das Ausleihen von Code aus der Öffentlichkeit sowie das Überlassen der Server aus dem RDP-Honeypot-Netzwerk in den BSOD-Status weisen darauf hin, dass Angreifer, die versuchen, die Server mit dem Monero Crypto Miner zu infizieren, derzeit keinen stabilen Exploit haben und nur versuchen, ihre Fähigkeiten zu verbessern. Die Chronologie der Ereignisse deutet jedoch darauf hin, dass wir bald Codeabschnitte sehen werden, die BlueKeep als Teil einer Vielzahl bösartiger Familien betreiben.

Beachten Sie, dass BlueKeep nicht die einzige Sicherheitsanfälligkeit ist, die auf die Implementierung des RDP-Protokolls abzielt. Zuvor haben wir über DejaBlue-Schwachstellen (CVE-2019-1181 / 1182) geschrieben, die eine viel größere potenzielle Abdeckung aufweisen, da die aktuellsten Windows-Versionen davon betroffen sind.

Wir empfehlen Ihnen dringend, eine Bestandsaufnahme der veröffentlichten Services Ihres Unternehmens vorzunehmen und die zuvor gemachten Empfehlungen zu befolgen.