Onderzoekers van ESET raden aan om Internet Remote Desktop
Protocol-verbindingen te blokkeren en zo mogelijke schade door BlueKeep en
andere exploits te voorkomen
ESET heeft zopas een gratis BlueKeep-tool
(CVE-2019-0708) vrijgegeven om te controleren of een computer waarop Windows
draait veilig is tegen misbruik van de kwetsbaarheid. ‘Brute-force’-aanvallen
en de BlueKeep-exploit gebruiken rechtstreekse Remote Desktop Protocol (RDP) –verbindingen
en laten aanvallers grootschalige kwaadaardige activiteiten uitvoeren door de
servers van het slachtoffer te misbruiken.
“Hoewel de
BlueKeep-kwetsbaarheid tot nu toe geen grote schade heeft aangericht, zijn we
slechts aan het begin van zijn levenscyclus," verduidelijkt Aryeh
Goretsky, vooraanstaande onderzoeker bij ESET. “Veel systemen zijn echter nog
niet gepatcht en een grondig wormbare versie van de exploit kan nog steeds gevonden
worden”, voegt hij eraan toe.
Met RDP kan een
verbinding tussen computers gemaakt worden via een netwerk om dat op afstand te
gebruiken. In de afgelopen twee jaar heeft ESET steeds meer incidenten waargenomen
waarbij de aanvallers op afstand verbinding maakten met een
Windows-internetserver door middel van RDP. De aanvallers loggen in als
beheerders en kunnen vervolgens verschillende kwaadaardige acties uitvoeren
waaronder het downloaden en installeren van programma's op de server, het
uitschakelen van beveiligingssoftware of het exfiltreren van servergegevens. Hoewel
de precieze aard van wat aanvallers kunnen doen zeer uiteenlopend kan zijn,
zijn twee van de meest voorkomende praktijken het installeren van
muntenextractieprogramma's, om cryptocurrencies te genereren en ransomware te
installeren en zo geld van de organisatie af te persen.
“De aanvallen
uitgevoerd met RDP kennen een langzame maar regelmatige groei en werden het
onderwerp van een aantal overheidsmededelingen in de Verenigde Staten, het Verenigd
Koninkrijk, Canada en AustraliĆ«, om er slechts enkele te noemen,” vertelt Goretsky.
De komst van BlueKeep hebben de poorten geopend waardoor nieuwe aanvallen
mogelijk werden. “Deze kwetsbaarheid zou wormbaar kunnen worden, wat betekent
dat een aanval zich automatisch over netwerken kan verspreiden zonder
tussenkomst van gebruikers”, waarschuwt Goretsky.
Microsoft heeft in
zijn klantenrichtlijnen (published guidance for customers) de BlueKeep- kwetsbaarheid het niveau van Kritiek
toegewezen, wat het meest ernstige is. In de database met kwetsbaarheden van de
Amerikaanse overheid kreeg de CVE-2019-0708 een score van 9,8 op 10.
"Gebruikers
moeten niet langer rechtstreeks op hun servers aansluiten via het internet met
behulp van RDP. Dit kan problematisch zijn voor sommige bedrijven. Daar de
ondersteuning voor Windows Server 2008 en Windows 7 in januari 2020 eindigt,
vormen computers met deze programma’s een risico voor het bedrijf. Men moet nu
al maatregelen treffen om deze risico’s te verminderen, " beveelt Goretsky
aan.
Voor meer informatie
over de BlueKeep-kwetsbaarheid, de
beoordelingstool van ESET en de soorten Remote Desktop Protocol-aanvallen, lees
de blog “It’s time to disconnect RDP from the
internet” op
WeLiveSecurity.com . Volg ook ESET Research on Twitter voor de nieuwste
berichten van ESET Research.
Voor het gratis e-book over gegevensbescherming, bezoek https://www.eset.com/be-nl/zakelijk/data-protection-ebook/