Selon GreyNoise, des scans ont été menés sur Internet pour rechercher des systèmes Windows vulnérables à BlueKeep (CVE-2019-0708). Cette faille concerne le service RDP (Remote Desktop Protocol) pour les versions suivantes de Windows : XP, 7, Server 2003 et Server 2008 (cf. CXA-2019-2205 ).
Description
Microsoft a fourni un correctif le 14 mai dernier et demande aux utilisateurs et aux entreprises de l’appliquer le plus rapidement possible. Selon Microsoft, cette faille pourrait être exploitée pour créer un ver, capable de se propager en se répliquant.
Jusqu’à maintenant, aucun code d’exploitation, ni de preuve de concept, n’ont été publiées sur Internet. Cependant, plusieurs entités ont confirmé le développement réussi d’un exploit de BlueKeep, qu’ils cherchent à garder pour eux. La liste inclue Zerodium, McAfee, Kaspersky, Check Point, MalwareTech et Valthek.
Un vaste mouvement défensif s’est lancé pour aider les entreprises à se protéger face à cette vulnérabilité critique. En effet, le groupe NCC a créé des règles de détection de tentatives d’exploitation pour des équipements réseaux. Aussi, 0patch, a mis en place un « microcorrectif » exceptionnel dans le but de protéger les systèmes jusqu’à la mise à jour officielle. Un chercheur chez RiskSense a également développé un outil dans le but de tester si le correctif concernant BlueKeep a été correctement appliqué ou pas.
Selon un spécialiste chez GreyNoise, les attaquants utiliseraient le module Metasploit de RiskSense pour détecter si des systèmes sont vulnérables. L’activité de scan est exclusivement menée depuis un nœud de sortie Tor. Un tel nœud est une passerelle depuis laquelle le trafic Tor chiffré sort sur Internet. Ce scan semble être lancé par un seul attaquant. Aucun signe d’attaque n’a été détecté, mais vu l’effort déployé pour construire une liste des systèmes vulnérables, ce n’est qu’une question de temps avant que des attaques soient lancées.
Références
https://www.zdnet.com/article/intense-scanning-activity-detected-for-bluekeep-rdp-flaw/
https://leportail.xmco.fr/watch/advisory/CXA-2019-220