Grootschalig misbruik BlueKeep-lek verwacht door online uitleg

[Captain Kirk]

De Britse beveiligingsonderzoeker Marcus Hutchins heeft via Twitter gewaarschuwd voor grootschalig misbruik van de BlueKeep-kwetsbaarheid in Windows nadat iemand uitgebreide details over het beveiligingslek online heeft gezet. De uitleg kan het eenvoudiger maken om een exploit te ontwikkelen.

De afgelopen weken maakten verschillende onderzoekers en securitybedrijven melding dat ze een exploit hadden ontwikkeld om via BlueKeep kwetsbare computers op afstand over te nemen. De kwetsbaarheid is aanwezig in de Remote Desktop Services van Windows XP, Server 2003, Windows 7 en Server 2008. Nieuwere Windowsversies zijn niet kwetsbaar.

Het beveiligingslek werd in mei door Microsoft gepatcht, maar meer dan 800.000 computers hebben de update ondanks waarschuwingen van overheidsinstanties uit allerlei landen nog altijd niet geïnstalleerd. Er zijn echter nog geen aanvallen in het wild waargenomen. Met de nu online verschenen uitleg kan dat veranderen. Het maakt het namelijk eenvoudiger voor aanvallers om een exploit te ontwikkelen.

"De moeilijkheidsgraad komt voornamelijk door de noodzaak om het RDP-protocol te reverse engineeren om te zien hoe een heap spray is uit te voeren", zegt Hutchins tegenover Ars Technica. "De auteur legt dit allemaal uit, dus het enige dat echt nodig is, is het implementeren van het RDP-protocol en zijn uitleg volgen. Alleen basaal begrip is voldoende. Wat waarschijnlijk zal gebeuren nu de lat lager is gelegd, is dat meer mensen misbruik van het lek kunnen maken, en er meer kans is dat iemand volledige exploitcode openbaar maakt."

Hutchins krijgt bijval van Jake Williams, die in het verleden exploits voor de Amerikaanse geheime dienst NSA ontwikkelde en zelf een BlueKeep-exploit schreef. "Het is de meest uitgebreide technische documentatie die tot nu online is verschenen", laat hij weten. Toch denkt Williams dat de nu verschenen uitleg er niet voor zorgt dat minder kundige exploitschrijvers nu een crashvrije exploit kunnen ontwikkelen. Volgens Hutchins maakt dat niet uit voor aanvallers die bijvoorbeeld sabotage of ontregeling als doel hebben.

 

 

bron: security.nl