Securitybedrijf zet exploit voor BlueKeep-kwetsbaarheid op GitHub

Een exploit voor de BlueKeep-kwetsbaarheid in Windows XP en 7 is online verschenen. De exploit is volgens Ars Technica nog niet zo betrouwbaar als de beruchte Wannacry-ransomware, maar kan desalniettemin net als WannaCry fungeren als worm.

Ars Technica's security-deskundige Dan Goodin schrijft dat de exploit vrij is gegeven door het Amerikaanse Rapid7, de ontwikkelaar van de opensource exploit-kit Metasploit Framework. De code voor de aanval staat op GitHub. Gebruikers moeten nog wel aangeven welke versie van Windows ze willen aanvallen, anders heeft het niet het beoogde effect. Ook werkt de exploit nog niet op servers zonder wat verdere handmatige aanpassingen. Rapid7 stelt in een blogpost dat het de informatie en de exploitcode vrijgeeft om potentiële doelwitten dezelfde kennis te geven als de aanvallers.

De BlueKeep-kwetsbaarheid werd in mei van dit jaar gedicht door Microsoft. Het gat in de beveiliging zat in Windows XP, Windows 7, Windows Server 2003, 2008, en 2008 R2. Het recentere Windows 8 en Windows 10 zijn niet in gevaar. Microsoft heeft alle betrokken besturingssystemen een patch gegeven, inclusief het reeds in eol-status belande Windows XP. Voor XP moet de patch wel handmatig gedownload worden. Naast Microsoft hebben ook de NSA, de Amerikaanse Overheid en het NCSC oproepen gedaan om de patches te installeren.

Het lek zit in de Remote Desktop Services en vergt geen interactie van de gebruiker om te slagen. Een aanvaller kan middels de exploit gebruikersrechten verwerven en data op een pc toevoegen, verwijderen of wijzigen en code uitvoeren. Als een pc eenmaal geïnfecteerd is, kan de worm verder afreizen naar andere pc's in het lan, zelfs als die verder afgeschermd zijn van het wan. Zelfs beschermde computers lopen gevaar als een pc in het lan geïnfecteerd is: opgeslagen wachtwoorden, bijvoorbeeld van netwerkshares van up-to-date systemen, kunnen dan alsnog ontfutseld en ontsleuteld worden.

Microsoft stelt dat BlueKeep de potentie heeft om net zo ernstig te zijn als de EternalBlue-kwetsbaarheid, dat uitgebuit werd door de WannaCry-ransomware, in 2017. Dat leidde tot grote schade wereldwijd.

Door Mark Hendrikman

Redacteur

07-09-2019 • 12:48

47

Lees meer

Reacties (47)

47
45
39
1
0
4
Wijzig sortering
Ik mis even het nut van een exploit online zetten daar komt toch alleen ellende van van nu iedereen deze kan starten :?
De slechteriken hadden deze code al. Extra publiciteit zodat meer mensen het weten (en hopelijk ook patchen)
Hoop slechterikken hadden de exploit nog niet..
Het is een bekend dilemma, wij hebben er ook mee gezeten. Veel mensen hebben hun server nog niet geupdated - maar er zitten gevaarlijke kwetsbaarheden in. Je probeerd die mensen te bereiken - maar op een zeker moment heb je al je kanalen benut. Dan is het publiek maken en via bijv. grote kranten ofzo de gebruikers/sysadmins bereiken vaak een betere keuze daar veel van de slechteriken de tech sector nauwer volgen dan sommige sysadmins doen...

Ja, daardoor zijn er meer slechterikken die weten hoe ze in kunnen breken op de slecht beveiligde systemen, maar er zijn minder slecht beveiligde systemen... Afhankelijk van de getallen (die je natuurlijk vaak niet kan weten) en principes (vind je dat je alles moet doen om sysadmins te bereiken of vind je het hun eigen verantwoordelijkheid?) moet je dan een keuze maken.

Het is absoluut niet makkelijk en je kunt er zeker van zijn dat elke keuze je op kritiek komt te staan.
Hoe meer informatie en technische specificaties online staan hoe beter. Anders heb je security by obscurity en dat werkt niet meer in deze tijd.

[Reactie gewijzigd door kuurtjes op 23 juli 2024 12:45]

Security by obscurity heeft nooit gewerkt.
Een gapend gat 'verbergen' door er niet over te praten maakt het niet veiliger.
Jouw met wachtwoord beveiligde logins zijn veilig zolang de encryptiemethode geen gaten bevat.
Als er wel een zwakte in de encryptie zit, ben je niet veilig. Als 1 iemand van het gat weet, weten er meer van. Dan kan beter iedereen het weten, dan dat mensen denken 'ach, het zal wel meevallen'
Totdat iemand hem kan raden of jatten. ;)

Ik snap je punt. Security by obscurity is geen security, maar het kan wel verrekte goed helpen een kraak te vertragen of zelfs te detecteren zodat je actie kan ondernemen voor ze te ver komen. Obscurity is dan ook niet perse waardeloos, verre van. Common misconception.
Dat jij de enige bent die je paswoord kent is niet « obscurity ». SSH op een niet standaard poort draaien is « security though obscurity ». Door goed te kijken vind je de poort wel.
Wat is er niet obscure aan een password?
De password zelf.

Security through obscurity doelt op een beveiliging wat geen beveiliging is zodra het bekend wordt wat het is.
Zoals een service account met een gebruikers naam maar geen uniek paswoord. Zolang niemand weet dat het bestaat is het veilig. Het moment dat het bekend wordt is het een directe open gat in je beveiliging.
Als jij een paswoord van iemand kraakt wist al voordat je begon dat er een account was waar je in wou komen dus niet "obscure".
een privé wachtwoord tot jou account dat enkel jij kent is hét voorbeeld van security by obscurity. ;)
De exploit is in hackers kringen meestal al veel langer bekend, en zo krijg je bekendheid van het probleem.

Dit is het bekende dilemma tussen een paar mensen die toegang hebben tot heel veel systemen, of door bekendheid, heel veel mensen potentieel toegang te geven tot veel minder systemen.
De patch is er al. En de kwaadwillenden hebben de code al.

Dit geeft dus systeembeheerders en beveiligers kennis over hoe het werkt, zodat ze zich nu en in de toekomst beter kunnen beschermen.
Deze code wordt online gezet voor onderzoek en educatie. Hackers en security onderzoekers kunnen nu zelf gaan spelen met deze exploits on te kijken wat er nog meer mogelijk. En mensen die nieuw zijn in de security kunnen de code bestuderen en er mee experimenteren om zo nieuwe dingen te leren.
Sub7 was toen ook leuk speelgoed, ingebakken bij de vele no-cd cracks mooie tijd
Om je goed te kunnen verdedigen is kennis nodig hoe een exploit of aanval werkt. Helaas kun je niet altijd al je systemen patchen.
Exploits verkopen is Illigaal. Gratis en voor niets online zetten niet.
Het probleem was al opgelost door een patch
De BlueKeep-kwetsbaarheid werd in mei van dit jaar gedicht door Microsoft
Je helpt juist mensen hier mee om dit meer aandacht te geven. Het online publiceren na een fix, heeft niet zo veel impact. De criminelen wisten mogelijk al van de kwetsbaarheid. Dat is ook het probleem van kwetsbaarheden. Je weet niet wie/wat ze kent.
Volgens mij is dat onzin.

Er zijn miljoenenbedrijven die maar wat graag een goede exploit van je kopen en die voor miljoenen weer doorverkopen aan bijv. overheden. Cellebrite en Hacking Team zijn goede voorbeelden. En die zijn voor zover ik weet nog nooit veroordeeld.
De patch is al maanden uit..
als je nu nog niet gepatched heb, heb je een groter probleem met je security dan deze ene exploit denk ik...
Een hoop van de pentesters gebruiken deze methode om hun opdrachtgever te laten zien dat er nog werk aan de winkel is. Hiermee zorgen ze dat de kwetsbaarheden geholpen moeten worden. Het is dus een goede ontwikkeling dat dit voor iedereen beschikbaar is. Overigens er waren reeds een aantal poc's reeds te vinden op het internet.
Dat gaat wel problemen geven denk ik... Er is best nog veel XP.

En wie zegt: "Gan dan ook upgraden", het probleem is dat dit niet in alle gevallen kan. Denk aan industriele apparatuur, gaat vaak om machines van miljoenen euro's die tientallen jaren meegaan, maar de leverancier niet meer bestaat en dus geen updates levert voor de bedieningssoftware. Het is vaak zelfs nog een stuk ouder dan XP.

De meeste bedrijven hebben daarom industriele subnets hard afgeschermd. Maarja, we zullen het zien, in elk geval heet Microsoft nog een patch gemaakt voor XP.
Machines van miljoenen euro's, moeten dan:

- niet aan het netwerk hangen.
- allang zijn afgeschreven en vervangen.
- een toereikend onderhouds budget krijgen.

Voertuigen en gebouwen schrijven we ook (boekhoudkundig) af, en hebben we ook onderhoud voor. Dit is voor deze systemen niet anders.
Machines van miljoenen euro's, moeten dan:

- niet aan het netwerk hangen.
- allang zijn afgeschreven en vervangen.
- een toereikend onderhouds budget krijgen.

Voertuigen en gebouwen schrijven we ook (boekhoudkundig) af, en hebben we ook onderhoud voor. Dit is voor deze systemen niet anders.
Misschien moet je je iets meer verdiepen in operationele techniek, dit zijn systemen die oplopen van enkele tot tientallen miljoenen in aanschaf kosten (zo niet honderden) en een afschrijving hebben van soms wel 40 tot 50 jaar. Dat er onderhoud moet gebeuren prima maar veel van deze bedrijven bestaan minder lang als de software op de machines zelf, en derhalve dus ook geen updates of patches meer voor de software. Het systeem staat niet toe dat je zelf updates kan draaien of iets dergelijks ivm compatibiliteits issue van de software die erop draait.

Vaak is het ook gewoon een vereiste om een netwerk verbinding te hebben ivm een licentie server of key die lokaal geinstalelerd dient te zijn op een server. Vanuit een Security perspectief kan je alleen maar zo'n heel OT netwerk isoleren, wat helaas vaak resulteerd in een ijverige werknemer die "IT" er even bij doet en gewoon wat extra's in het netwerk patched met een kabel want dat poortje is nog vrij.

[Reactie gewijzigd door ShadowBumble op 23 juli 2024 12:45]

wat helaas vaak resulteerd in een ijverige werknemer die "IT" er even bij doet
Je hoeft geen verstand van operationele techniek te hebben om te zien wat hier mis gaat.

Je hebt dus een machine staan van tientallen, tot honderden miljoenen euro's. Die wordt afgeschreven over een periode van 50 jaar.

Je bedrijf is afhankelijk van de werking van die dingen. Als ze een paar dagen niet zouden werken, is de kans groot dat je failliet bent, en permanent de deuren kan sluiten.

Dat heeft niets met de operationele techniek te maken, maar is gewoon bedrijfsvoering.

Dat risico wil je niet bij een van je medewerkers neerleggen die IT er even bij doet. Daar wil je je tegen verzekeren, door een geschikt onderhoudsteam te hebben.

Ik begrijp prima dat het vaak niet zo werkt. Maar zo zou het wel moeten werken. De managers die over het geld gaan, zien vaak de risico's niet vanwege gebrek aan IT kennis. "software dat nu werkt, werkt morgen ook", is vaak de gedachte. En wij IT mensen, weten ze niet van een andere gedachte gang te overtuigen. Wat resulteerd in bezuinigingen op IT vlak tbv winst maximalisafie.

Nogmaal, "zo werkt het niet" is geen excuus. Dit is precies hoe het zou moeten. Misschien moeten er eens een paar flink grote fabrieken gewoon uitvallen door software shit, zodat dit besef meer gaat leven.
De dag van vandaag willen fabrikanten gewoon vanop afstand ondersteuning kunnen leveren. En dan heb je dus nood aan een netwerkverbinding. Daarnaast wil men ook statistische gegevens kunnen zien in het bedrijf zelf (MES data) en ook daarvoor moeten ze gewoon verbonden zijn met het netwerk.
Ik ken geen enkel bedrijf wat investeringen doet met een terugverdientijd > 15 jaar. Boven de 10 jaar is al zeldzaam.
Kan je wat voorbeelden geven van bedrijven die zo'n lange investering / afschrijvingsperiode hanteren? Hoe kom je bij die cijfers?
Zo simpel is dat niet. Dat is precies mijn punt. Het gaat niet om systemen maar fabrieksmachines. Een enkele machine kan zo richting een miljoen gaan. Denk aan een injectie molding machine.

Die worden niet elke 3 jaar vervangen, daar zijn ze veel te duur voor. Bovendien is het bijna altijd maatwerk. Uiteraard is er een toereikend onderhoudsbudget maar het is vaak gemaakt door een leverancier die niet meer bestaat of het niet wil ondersteunen door bijv. overnames. Source code heb je niet dus aan de software kan je weinig doen. In de tijd dat die machines gemaakt waren was er weinig aandacht voor beveiliging.

We maken bij ons ook veel produkten die vele jaren verkocht worden dus machines gaan gewoon lang mee. Zoiets schrijf je niet over 3 jaar af maar eerder over 10 of meer.

Maar inderdaad, ze hangen aan een gesegmenteerd subnet met zeer beperkte toegang. Helemaal afsluiten kan niet natuurlijk, want de aansturing van deze machines gebeurt ook via het netwerk.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 12:45]

Een machine die meer dan een miljoen waard is, en dan niet XP kunnen vervangen met iets wat voor een vervangende interface op hetzelfde communicatiekanaal zorgt?
Dat is als je het mij vraagt een situatie die hoogstens een paar keer voorkomt en dan nog steeds niet noodzakelijk. Windows XP is bijna alleen maar een grafische werkomgeving. Het nabootsen van het beetje OS-functionaliteit dat cruciaal is voor een bepaalde machine is echt wel kinderspel. Wat wil je doen, serieel, ethernet of een exotisch PC-compatible stuk ISA/PCI hardware? In geen geval heb je daar een specifieke Windows-versie voor nodig.

[Reactie gewijzigd door blorf op 23 juli 2024 12:45]

Waarom denk je dat je vandaag nog altijd moederborden met ISA sloten kunt kopen in de industriële wereld? En leuk dat jij XP even een grafische omgeving noemt die kan nagebootst worden. Waarmee ga jij die nabootsen? Als je drivers enkel werken op XP dan heb je al niets na te bootsen. En zelfs al kan je er rond werken, ga jij garanderen dat alles werkt zoals het hoort? De software is er niet voor ontworpen. Neen. Op zo een moment heb je maar 1 oplossing: verder werken met XP totdat je een kans hebt van heel die machine te vervangen.

Nog niet zo lang geleden heb ik een korte stint in een productie bedrijf gedaan. Daar werden op dat moment splinternieuwe machines geplaatst aangestuurd door modules van Siemens. En hoewel Windows 10 al goed beschikbaar was draaide er als OS gewoon Windows 7 Ultimate op, een OS dat op dat moment al in de extended support fase zat.
Omdat bepaalde machines vanwege hun leeftijd alleen maar het ISA-hardware communiceren?
(Waar je technisch gezien niet eens drivers voor nodig hebt, en waarvoor een API-gebaseerd protected mode OS sowieso geen aanrader is als de responstijden van onderdelen belangrijk zijn.)

En wat is er moeilijk na te bootsen aan het uiterlijk van XP? (Er vanuitgaande dat je werknemers niet tegen iets anders kunnen, want nodig heb je het verder niet. Of werkt je machine niet zonder startmenu? :+ )

[Reactie gewijzigd door blorf op 23 juli 2024 12:45]

Windows 7 Ultimate, weet je dat zeker?

Dat zou wel echt achterlijk zijn namelijk. Bij mijn vorige werkgever hadden we een plasmasnijder en toen die industriële computer vervangen moest worden kwam er een met Windows 7 Embedded. En die heeft nog support tot juli 2025.

Kan me haast niet voorstellen dat Siemens zo stom is :p. Alhoewel.. na het zien van de PLC software :X
De grafische kant is echt 0,0 belangrijk in dezen.

Het gaat er meer om dat er weinig interesse is in het knutselen aan software van een machine van > 1 miljoen die duizenden behuizingen per uur perst. Elk probleem daarvan heeft een directe invloed op de produktie.

Als het werkt is er weinig interesse om er iets aan te veranderen. Daarom worden risico's vermeden met segmentatie van het netwerk in plaats van zelf een stuk nieuwe software te bouwen. Waarbij ook een hoop gereverse-engineered zal moeten worden trouwens. Misschien werkt de software zelfs wel op een modernere versie maar het probleem is dat het daar niet voor gemaakt is en er dus problemen op kunnen treden.
Maar het is niet zo omdat een gebouw boekhoudkundig is afgeschreven dat we het dan maar tegen de grond gooien en een nieuw in de plaats zetten.
Klopt. Maar dat gebouw wordt wel onderhouden. Afschrijving helpt bij het realiseren van budget. Dat budget, kan je gebruiken voor onderhoud.

Mijn punt is gewoon, als je een machine koopt van "tientallen tot honderden miljoenen", dan doe je wat onderzoek. En dan besef je dat je wilt gaan afschrijven over 50 jaar, terwijl windows XP over 10 jaar niet meer wordt ondersteund.

Dat is iets om rekening mee te houden. Een oplossing kan zijn dat je er een onderhoudsteam op zet. En het kan zijn dat zo'n systeem aan het internet kan hangen, maar dat je onderhoudsteam je adviseerd om dit netwerk offline te houden.
Mijn punt is gewoon, als je een machine koopt van "tientallen tot honderden miljoenen", dan doe je wat onderzoek. En dan besef je dat je wilt gaan afschrijven over 50 jaar, terwijl windows XP over 10 jaar niet meer wordt ondersteund.
Dat is natuurlijk bekend op het moment van aankoop maar het is ook bekend dat je niet in de toekomst kan kijken en dat je 10 jaar geleden geen Windows 10 kon kopen. Overigens is 50 jaar wel weer heel erg overdreven (in elk geval bij ons), maar rond de 10 jaar is normaal.

Machines zijn bovendien meestal maatwerk en bestaan uit componenten als controllers en sensoren van derde leveranciers die ook weer hun eigen software hebben die weer eigen vereisten hebben (denk aan drivers, DLL's etc). Het onderhoud aan een gebouw is veel simpeler.

En ja en gespecialiseerde onderhoudsteams zijn er natuurlijk wel (in elk geval bij ons). Maar je hebt vaak niet de luxe om dingen helemaal offline te houden. Dus het wordt een ingewikkeld systeem van firewalls. Ik moet ook zeggen dat bij ons de kans zeer klein is dat zo'n bluekeep virus in een van die machines terecht komt. We hebben ook netwerk access control waardoor niet iemand per ongeluk zijn laptop in de verkeerde poort kan prikken.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 12:45]

Vergis je ook niet in bijvoorbeeld gecertificeerde apparatuur die na een patch of update opnieuw gecertificeerd moeten worden. Die apparatuur heeft wel dat uit het netwerk nodig om te kunnen werken, dus zomaar helemaal loskoppelen kan ook niet.

Het is allemaal niet zo eenvoudig als het lijkt en dat heeft niet altijd te maken met onwil en onkunde, maar ook vaak met bedrijfseconomische onhaalbaarheid.
"Gebruikers moeten nog wel aangeven welke versie van Windows ze willen aanvallen, anders heeft het niet het beoogde effect. Ook werkt de exploit nog niet op servers zonder wat verdere handmatige aanpassingen."

Details, dat is een kwestie van er een laag omheen bouwen die er rottigheid mee uithaalt. Aangezien de patch op XP handmatig gedownload moet worden zullen een aantal systemen onbeschermd blijven, maar dat zullen er nooit veel meer zijn.
Voor oudere games heb ik een dual-boot systeem met XP en Debian. In XP staat de netwerkkaart uit, en alles wat ik nodig heb plaats ik via Linux op de XP-partitie. RDP was ik niet van plan. Probleem opgelost...
RDS heb ik uit mn image gehaald voor installatie, net als 100en anderen componenten met potentiele exploitable attack vectors.

:-)
Op zich een goed plan, maar vroeg of laat kom je tegen dingen aan die je niet kan verwijderen of je echt nodig hebt. Bij ons valt RDP vaak al in die hoek trouwens.
Zet in Windows 7 zo ie zo even de Hulp op Afstand uit.

Configuratie scherm – systeem en beveiliging – Systeem – Instellingen voor externe verbindingen

Vinkje bij Verbindingen van Hulp op afstand met deze computer weg halen.

Op Askwoody zijn ze al maanden bezig met deze exploit. Kijk hier voor info over welke patches je moet installeren en voor welke valkuilen je moet oppassen bij het installeren van de patches.
The microsoft cyber attack
https://youtube.com/watch?v=duaYLW7LQvg

Ik zeg niet dat vrije en open source besturingssystemen geen exploits kunnen hebben maar het lijkt me wel de oplossing. Een zo lang bestaande exploit zou dan waarschijnlijk al veel eerder zijn gefixt.

Op dit item kan niet meer gereageerd worden.