Een exploit voor de BlueKeep-kwetsbaarheid in Windows XP en 7 is online verschenen. De exploit is volgens Ars Technica nog niet zo betrouwbaar als de beruchte Wannacry-ransomware, maar kan desalniettemin net als WannaCry fungeren als worm.
Ars Technica's security-deskundige Dan Goodin schrijft dat de exploit vrij is gegeven door het Amerikaanse Rapid7, de ontwikkelaar van de opensource exploit-kit Metasploit Framework. De code voor de aanval staat op GitHub. Gebruikers moeten nog wel aangeven welke versie van Windows ze willen aanvallen, anders heeft het niet het beoogde effect. Ook werkt de exploit nog niet op servers zonder wat verdere handmatige aanpassingen. Rapid7 stelt in een blogpost dat het de informatie en de exploitcode vrijgeeft om potentiële doelwitten dezelfde kennis te geven als de aanvallers.
De BlueKeep-kwetsbaarheid werd in mei van dit jaar gedicht door Microsoft. Het gat in de beveiliging zat in Windows XP, Windows 7, Windows Server 2003, 2008, en 2008 R2. Het recentere Windows 8 en Windows 10 zijn niet in gevaar. Microsoft heeft alle betrokken besturingssystemen een patch gegeven, inclusief het reeds in eol-status belande Windows XP. Voor XP moet de patch wel handmatig gedownload worden. Naast Microsoft hebben ook de NSA, de Amerikaanse Overheid en het NCSC oproepen gedaan om de patches te installeren.
Het lek zit in de Remote Desktop Services en vergt geen interactie van de gebruiker om te slagen. Een aanvaller kan middels de exploit gebruikersrechten verwerven en data op een pc toevoegen, verwijderen of wijzigen en code uitvoeren. Als een pc eenmaal geïnfecteerd is, kan de worm verder afreizen naar andere pc's in het lan, zelfs als die verder afgeschermd zijn van het wan. Zelfs beschermde computers lopen gevaar als een pc in het lan geïnfecteerd is: opgeslagen wachtwoorden, bijvoorbeeld van netwerkshares van up-to-date systemen, kunnen dan alsnog ontfutseld en ontsleuteld worden.
Microsoft stelt dat BlueKeep de potentie heeft om net zo ernstig te zijn als de EternalBlue-kwetsbaarheid, dat uitgebuit werd door de WannaCry-ransomware, in 2017. Dat leidde tot grote schade wereldwijd.