BlueKeep

BlueKeep-sårbarheten brukes nå til å utføre angrep – men ikke slik som først fryktet

Foreløpig ingen orm.

Illustrasjonsbilde.
Illustrasjonsbilde. (Skjermbilde: Harald Brombach)

Foreløpig ingen orm.

I mai meldte Microsoft om en kritisk sårbarhet, senere døpt BlueKeep, som potensielt kunne legge til rette for nye WannaCry-tilstander. Nå melder blant andre ZDNet at sårbarheten brukes til å utføre reelle angrep, noe vi hittil ikke har sett bevis på.

Sikkerhetsforskeren Kevin Beaumont, som ga BlueKeep-sårbarheten sitt navn, skrev i helgen et innlegg på nettstedet Medium hvor han bekrefter at han har oppdaget ondsinnet programvare – «exploits» – som utnytter BlueKeep-hullene.

Satte opp honningkrukker

Oppdagelsen ble gjort via et nettverk av såkalte honningkrukker som sikkerhetsforskeren har satt opp. Honningkrukker er isolerte og overvåkte deler av datasystemer som utgir seg for å være legitime for å tiltrekke seg ondsinnet aktivitet.

Beaumont oppdaget mot slutten av oktober at samtlige av honningkrukkene hans krasjet i form av det berømte «blue screen of death»-fenomenet (BSOD), og begynte dermed å undersøke saken nærmere i samarbeid med den kjente sikkerhetsforskeren Marcus «MalwareTech» Hutchins, som omtalte saken hos Kryptos Logic.

Les også

Hutchins var sentral da den beryktede WannaCry-skadevaren ble stoppet.

Etter en grundig teknisk analyse av honningkrukkesystemene, avdekket han ondsinnet kode som utnytter BlueKeep-hullene, men ikke til den type aktivitet som Microsoft tidligere har advart om.

Kryptominer

I stedet for de fryktede dataorm-egenskapene, viste det seg at koden ble brukt til å levere programvare som utvinner kryptovaluta, noe som er er vesentlig mindre alvorlig.

– Selv om denne tilsynelatende aktiviteten er bekymringsfull, forutså datasikkerhetsfellesskapet mye verre potensielle scenarier, skriver Marcus Hutchins.

Sikkerhetsforskeren mener det er underlig at et alvorlig hull som har vært kjent i et halvt års tid, først nå blir utnyttet, men tror årsaken kan være at hackere nøler på grunn av risikoen og fordi man bare har én sjanse til å utnytte hullet i stor skala.

Både Microsoft og det amerikanske etterretningsbyrået NSA kom med sterke advarsler etter at BlueKeep-sårbarhetene ble kjent. NSA mente det bare var et tidsspørsmål før angrepskode var på plass, og senere meldte det amerikanske sikkerhetsdepartementet at de hadde lykkes i å lage fungerende angrepskode.

Mange datamaskiner er fremdeles utsatt, og så sent som i august i år kom Microsoft på nytt med BlueKeep-advarlser og oppfordringer om å oppdatere de berørte Windows-utgavene, det vil si Windows 7, Windows Server 2008 og Windows Server 2008 R2.

Les også: De fleste virksomheter har trolig installert BlueKeep-oppdateringen »

Kommentarer (3)

Kommentarer (3)
Til toppen