BlueKeep-fel i gamla Windows-datorer som utnyttjas till mina kryptovaluta

BlueKeep-fel i gamla Windows-datorer som utnyttjas till mina kryptovaluta

En hackare har missbrukat en allvarlig sÄrbarhet i gamla Windows-maskiner som bÄde Microsoft och NSA har varnat för att det kan leda till ett datorvirusutbrott.

Lyckligtvis har attackerna bara handlat om att installera en kryptovalutaminerare, enligt Kevin Beaumont, sÀkerhetsforskaren som mÀrkte aktiviteten under helgen.

SÄrbarheten, som kallas BlueKeep, pÄverkar Windows 7-, Vista- och XP-maskiner som inte har lagts, tillsammans med Windows Server 2003- och 2008-system som har fjÀrrskrivbordsfunktionen aktiverad. Om du utnyttjar det kan du i princip ta över Windows-maskinen för att visa, Àndra eller ta bort data eller installera nya program.

Vad som gör BlueKeep lĂ€skigt Ă€r hur det Ă€r “avmaskbart” och kan utnyttjas utan nĂ„gon interaktion frĂ„n datorns Ă€gare. Som ett resultat kan en hackare teoretiskt skapa en bit av skadlig kod för att söka efter sĂ„rbara Windows-maskiner pĂ„ internet och försöka infektera dem alla.

Microsoft avslöjade och korrigerade bristen i maj, men sÀkerhetsforskare sÀger att minst 700 000 maskiner anslutna till internet fortfarande Àr sÄrbara för hotet.

Vi hittade definitivt BlueKeep-utnyttjande i naturen i alla lÀnder med en RDP-honungskruka (utom Australien). Tack @MalwareTechBlog för tiden och Azure Sentinel för verktyg för att hitta den. ?? https://t.co/ED2JHT7SC9

– Kevin Beaumont (@GossiTheDog) 2 november 2019

För att kontrollera om hackare nĂ„gonsin skulle utnyttja sĂ„rbarheten skapade Beaumont flera “honungspottar” eller dummy Windows-maskiner som var sĂ„rbara för felet, som var anslutna till det öppna internet. I mĂ„nader har aktiviteten pĂ„ smekmĂ„nadarna varit tyst. Men pĂ„ lördag sa Beaumont att han Ă€ntligen insĂ„g att nĂ„gon hade brutit in i maskinerna med hjĂ€lp av BlueKeep-sĂ„rbarheten, vilket fick dem att krascha med start den 23 oktober.

En nĂ€rmare undersökning visade att alla utom en av Beaumonts smekmĂ„nadskott hade komprometterats genom BlueKeep-sĂ„rbarheten, “normalt flera gĂ„nger om dagen”, skrev han i ett blogginlĂ€gg som diskuterade attackerna.

Beaumont bad sedan en annan sĂ€kerhetsforskare, Marcus Hutchins – som hjĂ€lpte till att stoppa WannaCry-ransomwareutbrottet – att granska kraschloggarna för sina honungspotter. Analysen avslöjade att den mystiska angriparen hade kapat maskinerna för att ladda ner en gruvarbetare.

“Hittills verkar innehĂ„llet som levereras med BlueKeep Ă€rligt talat lite halt – myntgruvar Ă€r inte precis ett stort hot”, skrev Beaumont i sitt blogginlĂ€gg. Gruvmjukvaran fungerar i huvudsak som en parasit; det kommer att stjĂ€la en maskins CPU-resurser för att generera en virtuell valuta som sedan skickas till hackarna. I vĂ€rsta fall kommer datorer som trĂ€ffas med gruvarbetaren att gĂ„ lĂ„ngsammare och konsumera mer el. Men sjĂ€lva maskinerna Ă€r fortfarande anvĂ€ndbara, med data inuti intakta.

Den mystiska hackaren bakom attackerna har ocksÄ avstÄtt frÄn att slÀppa loss en datormask. Enligt Hutchins verkar det som om den skyldige helt enkelt riktar in sig pÄ utsatta Windows-maskiner i stor skala baserat pÄ en lista med IP-adresser.

För att utnyttja de icke-lappade Windows-maskinerna har hackaren anvÀnt ett verktyg för penetrationstest, kallat Metasploit, som sÀkerhetsforskare slÀppte i september för att hjÀlpa organisationer att kontrollera om de var sÄrbara för BlueKeep-felet. Samma verktyg Àr ocksÄ ett dubbelsidigt svÀrd eftersom en hackare ocksÄ kan anvÀnda det. Lyckligtvis har Metasploit-modulen inga automatiska inriktningsfunktioner inbyggda för att missbruka BlueKeep; istÀllet mÄste anvÀndaren ange mÄlet manuellt.

Intressant nog kan den mystiska skyldige bakom kapningarna ha upphört. Efter att ha publicerat sin analys av attacker har all BlueKeep-relaterad aktivitet över Beaumonts honungspottar upphört.

Det finns nÀstan en miljon av dessa direkt online och fortfarande sÄrbara, det problemet kommer inte att försvinna nÀr som helst snart.

– Kevin Beaumont (@GossiTheDog) 3 november 2019

Icke desto mindre varnar Beaumont att det bara kan vara en tidsfrĂ„ga innan en allvarligare attack trĂ€ffar Windows-maskinerna som inte har skickats. “Det Ă€r tydligt att mĂ€nniskor nu förstĂ„r hur man utför attacker pĂ„ slumpmĂ€ssiga mĂ„l, och de börjar göra det”, sa han. “Denna aktivitet fĂ„r mig inte att oroa mig, men det gör att min spindelkĂ€nsla sĂ€ger” detta kommer att bli vĂ€rre, senare. “

MÄnga företag, vÄrdorganisationer och myndigheter runt om i vÀrlden driver fortfarande gamla Windows-system. SÄ de förblir troligen mest utsatta för hot.

PlĂ„stren för att Ă„tgĂ€rda felet kan laddas ner pĂ„ Microsofts webbplats. Windows 8 och Windows 10-operativsystem Ă€r dock immuna mot hotet. Ägare kan ocksĂ„ inaktivera Remote Desktop Services pĂ„ maskiner för att skydda mot sĂ„rbarheten.