Un exploit di sicurezza chiamato BlueKeep è allo stato brado. Gli osservatori della sicurezza su numerosi siti hanno riferito che i ricercatori avevano individuato prove di sfruttamento. HotHardware ha detto che finora i segnali erano che le macchine interessate venivano utilizzate per estrarre criptovaluta.

(Il bug nel protocollo desktop remoto di Microsoft, disse Cablato , "consente a un hacker di ottenere l'esecuzione completa del codice remoto su macchine prive di patch.")

Davey Winder. chi si occupa di sicurezza informatica, ha detto ai lettori in Forbes :la vulnerabilità BlueKeep che esiste nelle versioni senza patch di Windows Server 2003, Windows XP, Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2 hanno ricevuto una nuova notizia:"è stato confermato che è attualmente in corso un attacco di exploit BlueKeep".

Come Cablato disse, i ricercatori hanno trovato prove "che i loro cosiddetti honeypot, macchine esche progettate per aiutare a rilevare e analizzare le epidemie di malware, vengono compromesse in massa utilizzando la vulnerabilità BlueKeep".

Paul Lilly in HotHardware ha affermato che il ricercatore di sicurezza Kevin Beaumont ha notato "più honeypot nella sua rete EternalPort RDP si bloccano e si riavviano".

Tornato a luglio, Lilly aveva consegnato un rapporto secondo cui i ricercatori della sicurezza di Sophos avevano creato una dimostrazione di prova che mostrava quanto sarebbe stato facile per un server RDP (Remote Desktop Protocol) senza patch essere compromesso da BlueKeep, un bug di Windows. Allora, i ricercatori avevano sperato che la demo avrebbe spaventato le aziende nell'applicazione di patch a Windows.

Così, avanti veloce a questo mese. Qual è l'obiettivo di BlueKeep? Andy Greenberg in Cablato ha affermato che "il diffuso hacking di BlueKeep installa semplicemente un minatore di criptovaluta, risucchiare la potenza di elaborazione di una vittima per generare criptovaluta."

Non che gli esperti di sicurezza non lo vedessero arrivare. Forbes ha fornito un resoconto degli eventi.

"Il 4 giugno " ha scritto Winder, "La National Security Agency (NSA) ha compiuto l'insolita iniziativa di pubblicare un avviso che esortava gli amministratori di Microsoft Windows ad aggiornare il proprio sistema operativo o rischiare un 'impatto devastante' e ad ampio raggio' di fronte a una minaccia crescente.

"Questo avvertimento è stato dato ancora più gravitas il 17 giugno quando il governo degli Stati Uniti, tramite la Cybersecurity and Infrastructure Security Agency (CISA), ha emesso un avviso di attività "aggiorna ora". Più o meno allo stesso tempo, i ricercatori della sicurezza prevedevano che un exploit BlueKeep "devastante" sarebbe stato tra poche settimane."

Ora che siamo a novembre, Kryptos Logic ha trovato curioso "che questa vulnerabilità wormable pubblicamente nota, noto a tutti coloro che vorrebbero sapere per almeno sei mesi, ci è voluto così tanto tempo per diventare un'arma in modo rilevabile. Si potrebbe teorizzare che gli aggressori sappiano di avere essenzialmente una possibilità di usarlo su larga scala, e diventa un gioco da ragazzi sapere chi lo farà per primo."

Lilly ha detto che la buona notizia è che non si è autopropagato.

Posta delle minacce condiviso la sua osservazione. "I primi attacchi che sfruttano la vulnerabilità zero-day di Windows installano cryptominer e scansionano i bersagli piuttosto che un worm con potenziale WannaCry". Posta delle minacce trovato gli attacchi per essere "Inizialmente deludente, " non così male come avrebbe potuto essere. As Cablato spiegato, Piuttosto che un worm che salta senza assistenza da un computer all'altro, sembra che questi aggressori abbiano scansionato Internet alla ricerca di macchine vulnerabili da sfruttare".

Kryptos Logic ha concluso che la presunta attività riguardava, {il blog di Kryptos Logic ha pubblicato un thread su Twitter che riportava BSOD, schermi blu della morte, attraverso la rete di BlueKeep Honeypot di Beaumont], ma si consideri che la comunità della sicurezza delle informazioni aveva previsto scenari potenziali peggiori.

"In base ai nostri dati non stiamo assistendo a un picco nella scansione indiscriminata sulla porta vulnerabile come abbiamo visto quando EternalBlue è stato wormato su Internet in quello che ora è noto come attacco WannaCry".

Piuttosto, ha detto Kryptos Logic, sembrava probabile che "un attore di basso livello abbia scansionato Internet e infettato opportunisticamente host vulnerabili utilizzando utility di test di penetrazione pronte all'uso".

Elizabeth Montalban in Posta delle minacce , ciò nonostante, ha riassunto il motivo per cui "questo non significa che gli amministratori della sicurezza possano ancora stare tranquilli. Questa prestazione iniziale poco brillante potrebbe rappresentare più la semplicità degli hacker che la natura della vulnerabilità stessa, osservatori hanno notato."

Greenberg ha anche preferito non dimenticare potenziali scenari, di macchine colpite da un esemplare più serio e più virulento di malware che sfrutta la persistente vulnerabilità RDP di Microsoft. "Potrebbe assumere la forma di un worm ransomware nel modello di NotPetya o anche WannaCry, che ha infettato quasi un quarto di milione di computer quando si è diffuso nel maggio del 2017, causando danni tra i 4 e gli 8 miliardi di dollari".

© 2019 Scienza X Rete