Microsoft waarschuwt bedrijven opnieuw voor de BlueKeep-kwetsbaarheid. De softwaregigant doet dat nadat bleek dat het lek actief werd misbruikt voor het installeren van een coinminer. Microsoft heeft al maanden een patch beschikbaar.
Het lek waarvoor Microsoft waarschuwt is al maanden bekend. BlueKeep is een remote code execution-bug in Remote Desktop Services in Windows 7, Windows Server 2008 en 2008 R2. De kwetsbaarheid heeft veel weg van de bug waar grote ransomwareaanvallen als WannaCry misbruik van maken. Daarom is er grote angst dat BlueKeep ook weer voor grote schade bij bedrijven kan zorgen. Het is niet de eerste keer dat Microsoft voor BlueKeep waarschuwt. Eerder deed het dat samen met het Nationaal Cyber Security Centrum.
Tot kort geleden is het lek echter nog niet op grote schaal misbruikt. Vorige week werd bekend dat de eerste BlueKeep-infecties binnenkwamen op honeypots. Microsoft bevestigt dat nu. Het bedrijf heeft daarvoor samengewerkt met onder andere beveiligingsonderzoeker Marcus Hutchins. Hij staat ook wel bekend als MalwareTech, en is de onderzoeker die WannaCry stopte. Tot nu toe zegt Microsoft dat het rdp-lek alleen nog maar is misbruikt om coinminers te installeren.
Het bedrijf zag een stijgende lijn in het aantal aanvallen sinds er vorige maand een Metasploit-module voor de kwetsbaarheid uitkwam. De aanvallen slaan met name toe in West-Europese landen zoals Frankrijk, Spanje, Duitsland en Italië, maar ook in Rusland en Oekraïne. Het lek dat nu misbruikt wordt zorgt er regelmatig voor dat het remote desktop protocol crasht. Als de aanval wél succesvol is wordt de cryptominer geïnstalleerd via PowerShell, schrijft Microsoft.
Microsoft waarschuwt daarnaast opnieuw dat bedrijven de beschikbare patch moeten doorvoeren om dat te voorkomen. Die patch voor de bug, met code CVE-2019-0708, is al sinds maart van dit jaar beschikbaar. Veel bedrijven hebben die echter nog niet doorgevoerd. Bedrijven die kwetsbaar zijn voor BlueKeep moeten in het algemeen opschieten met upgrades: het lek zit alleen in Windows 7 en oudere versies van Windows Server, die over twee maanden niet meer ondersteund worden.