icetray - Fotolia
Bluekeep : appliquer les correctifs se fait encore plus impératif
L’exploitation de la vulnérabilité Bluekeep semble commencée à grande échelle. Pour l’heure, il n’y a pas de réplication automatique et les cyber-mécréants se contentent de déployer un mineur de crypto-sous. Mais c’est peut-être la dernière alerte avant plus grave.
La vulnérabilité dite Bluekeep, référencée CVE-2019-0708, apparaît désormais exploitée largement. Pour mémoire, Microsoft propose des correctifs pour celle-ci depuis la mi-mai, y compris pour Windows XP et Windows Server 2003. L’éditeur prend le sujet tellement au sérieux qu’il lancé une nouvelle fois l’alerte début juin, faisant même un parallèle avec Eternalblue, rappelant qu’il ne s’était écoulé que deux mois entre la publication des correctifs et l’épisode WannaCry.
L’exploitation de Bluekeep peut avoir une portée considérable : la vulnérabilité permet d’exécuter à distance du code arbitraire sur des systèmes vulnérables et peut être utilisée dans le cadre d’un maliciel de type ver.
Dans le courant de l’été, Sophos a présenté, en vidéo, un démonstrateur d’exploitation de la vulnérabilité. Depuis, un exploit a été intégré à Metasploit. Mais jusqu’ici, aucune exploitation en masse n’avait été observée. Et cela vient de changer.
Le chercheur Kevin Beaumont a en effet observé une importante activité sur le réseau de pots de miel déployés tout spécifiquement sur Azure. Avec l’aide de Marcus Hutchins, il s’est penché sur les extraits de mémoire des machines virtuelles affectées. Et de s’apercevoir que les assaillants s’appuient sur l’exploit distribué avec Metasploit.
La bonne nouvelle est que, en l’état, il ne s’agit pas d’un ver : la charge déployée n’a pas de capacités de réplication. L’autre bonne nouvelle est qu’il ne s’agit que d’un maliciel générateur de crypto-pépettes. Mais pour Kevin Beaumont, c’est surtout un signe, celui d’autres opérations à venir, bien plus dangereuses.
Mi-août, Bitsight Technologies indiquait qu’il restait encore, au 2 juillet, plus de 800 000 systèmes affectés par Bluekeep et exposés en ligne. C’était 17 % de moins qu’au 31 mai, mais encore beaucoup. Aujourd’hui, selon les données de BinaryEdge.io, relevées par Kevin Beaumont, il faudrait encore compter avec plus de 720 000 systèmes affectés et toujours exposés en ligne.