Suite à un pic récent de tentatives d’exploitation de BlueKeep, Microsoft recommande à tous les utilisateurs de corriger leurs systèmes Windows obsolètes afin d’éviter d’être victimes d’une attaque.
L’équipe de recherche Microsoft Defender ATP du géant du logiciel a publié un article dans lequel elle mettait en garde contre une augmentation de l’activité de BlueKeep. ensembles de machines vulnérables. "
Les chercheurs ont également noté que les attaques de BlueKeep rapportées plus tôt ce mois-ci par le chercheur en sécurité Kevin Beaumont étaient liées à une campagne d'extraction de pièces utilisant les mêmes serveurs de commande et de contrôle pour lancer des attaques sur les systèmes vulnérables. Beaumont est même allé jusqu'à créer un réseau mondial de pots de miel pour détecter le développement des exploits de BlueKeep dans la nature. Cependant, le réseau s’est d'abord écrasé début octobre et à la suite de cet accident, tous les pots de miel restants, à l'exception de ceux situés en Australie, ont également été mis hors ligne.
Le chercheur en sécurité Marcus Hutchins (alias MalwareTech) a également confirmé que cette série d’attaques d’exploitation de BlueKeep était toujours en cours. Microsoft a collaboré avec les deux chercheurs en sécurité pour enquêter sur les incidents et a alors découvert qu’ils avaient été causés par un module d’exploitation BlueKeep.
Sommaire
Attaques BlueKeep
Début septembre, Microsoft a déployé un système de détection comportementale pour le module BlueKeep Metasploit. La société a constaté que le nombre de collisions liées au service RDP était passé de 10 à 100 par jour en septembre et qu’un pic similaire s’est produit au début d’octobre.
BlueKeep est une vulnérabilité d'exécution de code à distance qui peut également être transformée en ver qui affecte Windows XP, Windows 7, Windows Server 2003, Windows Vista et Windows Server 2008. La vulnérabilité elle-même est une pré-authentification, ce qui signifie qu'elle ne nécessite aucune interaction de l'utilisateur pour être exploitée.
BlueKeep pouvant être vermifugé, il permet à tout programme malveillant d’exploiter la vulnérabilité de se propager d’un système vulnérable à un autre, encore une fois sans aucune interaction de la part de l’utilisateur.
Cependant, les attaques lancées plus tôt ce mois-ci n’ont déployé aucun malware malveillant. Au lieu de cela, les cybercriminels à l'origine de cette récente vague d'attaques ont balayé le Web à la recherche de machines vulnérables et ont attaqué des systèmes non corrigés en déployant un exploit BlueKeep suivi d'un mineur de crypto-monnaie.
Microsoft estime que ce n’est que le début et que le pire reste à venir, car les pirates vont affiner leurs attaques et utiliser BlueKeep pour générer des charges malveillantes bien pires que celles des mineurs.
Pour éviter d'être victime de BlueKeep, il est vivement recommandé de corriger les anciens systèmes d'exploitation Windows et d'envisager une mise à niveau vers la dernière version du système d'exploitation Microsoft.
Via The Inquirer