Nach einer kürzlichen Reihe von Versuchen, BlueKeep auszunutzen, empfiehlt Microsoft allen Benutzern, ihre veralteten Windows-Systeme zu patchen, um Angriffe zu vermeiden.
Das Microsoft Defender ATP-Forschungsteam des Softwareriesen veröffentlichte einen Artikel, der vor einem Anstieg des BlueKeep-Geschäfts warnt. gefährdete Maschinensätze. "
Die Forscher stellten außerdem fest, dass die Anfang des Monats vom Sicherheitsforscher Kevin Beaumont gemeldeten BlueKeep-Angriffe im Zusammenhang mit einer Abwrackkampagne standen, bei der dieselben Befehls- und Kontrollserver zum Starten von Angriffen auf anfällige Systeme genutzt wurden. Beaumont ging sogar so weit, ein globales Netzwerk von Honeypots zu schaffen um sich entwickelnde BlueKeep-Exploits in freier Wildbahn zu erkennen. Allerdings stürzte das Netzwerk Anfang Oktober zum ersten Mal ab und infolge dieses Unfalls gingen auch alle verbliebenen Honey Pots außer denen in Australien offline.
Der Sicherheitsforscher Marcus Hutchins (alias MalwareTech) bestätigte außerdem, dass diese Serie von BlueKeep-Exploit-Angriffen noch andauerte. Microsoft arbeitete mit den beiden Sicherheitsforschern zusammen, um die Vorfälle zu untersuchen und stellte fest, dass sie durch ein BlueKeep-Bedienmodul verursacht wurden.
BlueKeep-Angriffe
Anfang September hat Microsoft ein Verhaltenserkennungssystem für das BlueKeep Metasploit-Modul implementiert. Das Unternehmen stellte fest, dass die Zahl der RDP-Kollisionen im September von 10 auf 100 pro Tag anstieg und Anfang Oktober ein ähnlicher Anstieg zu verzeichnen war.
BlueKeep ist eine Sicherheitslücke zur Remotecodeausführung, die auch zu einem Wurm werden kann, der Windows XP, Windows 7, Windows Server 2003, Windows Vista und Windows Server 2008 befällt. Bei der Sicherheitslücke selbst handelt es sich um eine Vorauthentifizierung, was bedeutet, dass keine Benutzerinteraktion erforderlich ist ausgenutzt werden.
BlueKeep kann entwurmt werden, sodass jedes Schadprogramm die Schwachstelle ausnutzen kann, um sich von einem anfälligen System auf ein anderes auszubreiten, wiederum ohne Benutzereingriff.
Bei den Anfang dieses Monats gestarteten Angriffen wurde jedoch keine bösartige Malware eingesetzt. Stattdessen durchsuchten die Cyberkriminellen, die hinter dieser jüngsten Angriffswelle standen, das Internet nach anfälligen Maschinen und griffen ungepatchte Systeme an, indem sie einen BlueKeep-Exploit und anschließend eine kleinere Kryptowährung einsetzten.
Microsoft glaubt, dass dies erst der Anfang ist und das Schlimmste noch bevorsteht, da Hacker ihre Angriffe verfeinern und BlueKeep nutzen werden, um böswillige Anklagen zu generieren, die viel schlimmer sind als geringfügige.
Um nicht Opfer von BlueKeep zu werden, wird dringend empfohlen, alte Windows-Betriebssysteme zu reparieren und ein Upgrade auf die neueste Version des Microsoft-Betriebssystems in Betracht zu ziehen.
Über den Ermittler