BlueKeep

BlueKeep: Une nouvelle campagne de cyberattaques exploite la faille

Des chercheurs en cybersécurité ont découvert une nouvelle campagne de cyberattaques exploitant la faille BlueKeep. Cette campagne n’est pas très sophistiquée et semble avoir pour objectif de compromettre des systèmes vulnérables pour miner de la cryptomonnaie.

Au mois de Mai 2019, Microsoft a distribué un patch pour une faille d’exécution de code à distance nommée BlueKeep. Cette faille se trouvait dans Windows Remote Desktop Services et peut être exploité à distance pour prendre le contrôle d’un système simplement en envoyant des requêtes RDP spéciales.

BlueKeep, CVE-2019-0708, pourrait permettre à un malware de se propager d’un ordinateur à l’autre à l’insu de la victime.

BlueKeep est une menace très sérieuse, Microsoft et quelques agences gouvernementales [NSA et GCHQ] ont encouragé les utilisateurs et les administrateurs à appliquer les patchs de sécurité pour se protéger.

Même les entreprises de sécurité informatique et les chercheurs qui ont développé un exploit pour BlueKeep ont préféré ne pas le partager avec le public car près d’un million de système était encore vulnérable un mois après que les patchs aient été distribué.

Ce nouvel exploit BlueKeep est associé à des malwares de cryptomonnaie

Cet exploit de BlueKeep a été découvert par Kevin Beaumont quand son honeypot a crashé et a redémarré subitement.

bluekeep

Marcus Hutchins aka MalwareTech, le chercheur qui a aidé à stopper le ransomware WannaCry en 2017, a ensuite analysé les sauvegardes de crash partagées par Beaumont et a confirmé “des artefacts BlueKeep dans la mémoire et du shellcode pour lancer un mineur de Monero.”

Dans un article publié en début de semaine, Hutchins a déclaré: “Finalement nous confirmons que ces points de segments [dans la sauvegarde du crash] pointent vers un shellcode exécutable. A ce point nous pouvons affirmer les tentatives d’exploit de BlueKeep avec du shellcode qui correspond au shellcode du module Metasploit de BlueKeep!

L’exploit contient des commandes de Powershell encodés en tant que payload initial, qui télécharge ensuite un fichier binaire exécutable et l’exécute sur les systèmes ciblés.

Selon le service de scan de malware, VirusTotal, le fichier binaire est un malware qui mine de la cryptomonnaie “Monero” en utilisant les ressources des systèmes infectés.

Pas de fonctionnalité Vers

Hutchins a aussi confirmé que le malware n’a pas la capacité de se propager tout seul. Apparemment les pirates scannent l’Internet pour trouver des systèmes vulnérables et essayent ensuite de les exploiter.

En d’autres mots, sans une fonctionnalité de vers, les pirates ne peuvent compromettre que les systèmes vulnérables connectés directement à Internet.

Bien que des pirates sophistiqués aient déjà exploité la faille BlueKeep pour compromettre des victimes ciblés, la faille n’a pas encore été exploité à une échelle plus importante, comme les attaques WannaCry ou NotPetya.