Um exploit de segurança chamado BlueKeep está à solta. Vigilantes de segurança em vários sites relataram que os pesquisadores encontraram evidências de exploração. HotHardware disse que, até o momento, os sinais eram de que as máquinas afetadas estavam sendo usadas para minerar criptomoedas.

(O bug no protocolo de área de trabalho remota da Microsoft, disse Com fio , "permite que um hacker obtenha a execução remota completa de código em máquinas sem patch.")

Davey Winder. que cobre a segurança cibernética, disse aos leitores em Forbes :A vulnerabilidade BlueKeep que existe em versões sem patch do Windows Server 2003, Windows XP, Windows Vista, Windows 7, O Windows Server 2008 e o Windows Server 2008 R2 receberam uma nova notícia:"agora foi confirmado que um ataque de exploração do BlueKeep está em andamento".

Como Com fio disse, os pesquisadores encontraram evidências "de que seus chamados honeypots - máquinas de isca projetadas para ajudar a detectar e analisar surtos de malware - estão sendo comprometidos em massa usando a vulnerabilidade BlueKeep".

Paul Lilly em HotHardware disse que o pesquisador de segurança Kevin Beaumont notou "vários honeypots em sua rede EternalPort RDP travando e reiniciando".

Em julho, Lilly entregou um relatório que os pesquisadores de segurança da Sophos criaram uma demonstração de prova de conceito mostrando como seria fácil para um servidor RDP (Remote Desktop Protocol) sem patch ser comprometido pelo BlueKeep, um bug do Windows. Naquela época, os pesquisadores esperavam que a demonstração assustasse as empresas a fazerem patch do Windows.

Então, avançar para este mês. Qual é o objetivo do BlueKeep? Andy Greenberg em Com fio disse que "o hackeamento generalizado do BlueKeep apenas instala um minerador de criptomoedas, sugando o poder de processamento da vítima para gerar criptomoeda. "

Não que os especialistas em segurança não tenham previsto isso. Forbes forneceu um relato dos eventos.

"Em 4 de junho, "escreveu Winder, "A National Security Agency (NSA) deu o passo incomum de publicar um comunicado instando os administradores do Microsoft Windows a atualizarem seus sistemas operacionais ou arriscarem um 'impacto devastador' e de 'amplo alcance' diante de uma ameaça crescente.

"Este aviso foi dado ainda mais seriedade em 17 de junho, quando o governo dos EUA, por meio da Agência de Segurança Cibernética e Infraestrutura (CISA), emitiu um alerta de atividade 'atualize agora'. Ao mesmo tempo, os pesquisadores de segurança previam que uma exploração 'devastadora' do BlueKeep aconteceria em apenas algumas semanas. "

Agora que estamos em novembro, A Kryptos Logic achou curioso "que esta vulnerabilidade wormable conhecida publicamente, conhecido por todos que gostariam de saber por pelo menos seis meses, levou tanto tempo para ser detectável como uma arma. Pode-se teorizar que os invasores sabem que têm essencialmente uma chance de usá-lo em escala, e torna-se um jogo de galinha sobre quem vai fazer isso primeiro. "

Lilly disse que a boa notícia aqui é que ele não se propagou.

Poste de Ameaça compartilhou sua observação. "Os primeiros ataques que exploram a vulnerabilidade de dia zero do Windows instalam criptominadores e procuram alvos, em vez de um worm com potencial WannaCry." Poste de Ameaça consideraram os ataques "inicialmente desanimadores, "não tão ruim quanto poderia ter sido. Com fio explicado, Em vez de um worm que salta sem ajuda de um computador para o outro, esses invasores parecem ter feito uma varredura na Internet em busca de máquinas vulneráveis ​​para explorar. "

A Kryptos Logic concluiu que a atividade alegada era preocupante, {o blog Kryptos Logic postou um tópico no Twitter relatando BSODs, telas azuis da morte, em toda a rede de BlueKeep Honeypots de Beaumont], mas considere que a comunidade de segurança da informação previu cenários potenciais piores.

"Com base em nossos dados, não estamos vendo um aumento na varredura indiscriminada na porta vulnerável, como vimos quando o EternalBlue foi infectado pela Internet no que agora é conhecido como ataque WannaCry."

Em vez, disse Kryptos Logic, parecia provável que "um ator de baixo nível escaneou a Internet e infectou hospedeiros vulneráveis ​​oportunisticamente usando utilitários de teste de penetração prontos para uso".

Elizabeth Montalban em Poste de Ameaça , Apesar disso, resumiu porque "isso não significa que os administradores de segurança podem ficar tranquilos ainda. Esse desempenho inicial sem brilho pode representar mais a falta de sofisticação dos hackers do que a natureza da vulnerabilidade em si, observadores notaram. "

Greenberg também preferiu não esquecer cenários potenciais, de máquinas atingem um espécime mais sério - e mais virulento - de malware que explora a vulnerabilidade RDP persistente da Microsoft. "Isso poderia assumir a forma de um worm ransomware no modelo do NotPetya ou também do WannaCry, que infectou quase um quarto de milhão de computadores quando se espalhou em maio de 2017, causando algo entre US $ 4 e US $ 8 bilhões de danos. "

© 2019 Science X Network