BlueKeep: 1 campagne de cyberattaques exploite la faille

Des chercheurs en cybersécurité ont découvert une nouvelle campagne de cyberattaques exploitant la faille BlueKeep. Cette campagne n’est pas très sophistiquée et semble avoir pour objectif de compromettre des systèmes vulnérables pour miner de la cryptomonnaie.

Au mois de Mai 2019, Microsoft a distribué un patch pour une faille d’exécution de code à distance nommée BlueKeep. Cette faille se trouvait dans Windows Remote Desktop Services et peut être exploité à distance pour prendre le contrôle d’un système simplement en envoyant des requêtes RDP spéciales.

BlueKeep, CVE-2019-0708, pourrait permettre à un malware de se propager d’un ordinateur à l’autre à l’insu de la victime.

BlueKeep est une menace très sérieuse, Microsoft et quelques agences gouvernementales [NSA et GCHQ] ont encouragé les utilisateurs et les administrateurs à appliquer les patchs de sécurité pour se protéger.

Même les entreprises de sécurité informatique et les chercheurs qui ont développé un exploit pour BlueKeep ont préféré ne pas le partager avec le public car près d’un million de système était encore vulnérable un mois après que les patchs aient été distribué.

Qu’est ce que Bluekeep?

BlueKeep est une vulnérabilité logicielle affectant les anciennes versions de Microsoft Windows. Elle est dangereuse car elle attaque le protocole RDP (Remote Desktop Protocol) du système d’exploitation, qui permet de connecter un ordinateur à un autre via le réseau. Ceci permettrait à une cybermenace de se propager très rapidement. Elle a été découverte en mai par le National Cyber Security Centre du Royaume-Uni. Depuis la mi-mai, Microsoft implore environ un million d’utilisateurs d’appliquer un correctif avec des avertissements sans équivoque.

Microsoft a averti que la vulnérabilité BlueKeep pouvait causer une épidémie de cybersécurité capable de « se propager dans le monde comme un ver d’un ordinateur vulnérable à un autre d’une manière similaire à celle du malware WannaCry en 2017 ». En d’autres termes, une fois qu’une menace a été introduite, elle peut se propager sans aucune interaction humaine. Pour cette raison, Microsoft a déclaré « avoir pris l’initiative inhabituelle de fournir une mise à jour de sécurité à tous ses clients afin de protéger les plateformes Windows ».

La menace n’avait été que modelée par des chercheurs. Elle devait potentiellement être capable de ravager des réseaux, tel un ver se propageant de lui-même d’un ordinateur à un autre. Selon Forbes et d’autres sources d’informations, l’épidémie de BlueKeep n’est actuellement qu’une menace ciblant le minage de crypto-monnaie.

Ce nouvel exploit BlueKeep est associé à des malwares de crypto-monnaie

Cet exploit de BlueKeep a été découvert par Kevin Beaumont quand son honeypot a crashé et a redémarré subitement.

bluekeep

Marcus Hutchins aka MalwareTech, le chercheur qui a aidé à stopper le ransomware WannaCry en 2017, a ensuite analysé les sauvegardes de crash partagées par Beaumont et a confirmé “des artefacts BlueKeep dans la mémoire et du shellcode pour lancer un mineur de Monero.”

Dans un article publié en début de semaine, Hutchins a déclaré: “Finalement nous confirmons que ces points de segments [dans la sauvegarde du crash] pointent vers un shellcode exécutable. A ce point nous pouvons affirmer les tentatives d’exploit de BlueKeep avec du shellcode qui correspond au shellcode du module Metasploit de BlueKeep!

L’exploit contient des commandes de Powershell encodés en tant que payload initial, qui télécharge ensuite un fichier binaire exécutable et l’exécute sur les systèmes ciblés.

Selon le service de scan de malware, VirusTotal, le fichier binaire est un malware qui mine de la cryptomonnaie “Monero” en utilisant les ressources des systèmes infectés.

Pas de fonctionnalité Vers

Hutchins a aussi confirmé que le malware n’a pas la capacité de se propager tout seul. Apparemment les pirates scannent l’Internet pour trouver des systèmes vulnérables et essayent ensuite de les exploiter.

En d’autres mots, sans une fonctionnalité de vers, les pirates ne peuvent compromettre que les systèmes vulnérables connectés directement à Internet.

Bien que des pirates sophistiqués aient déjà exploité la faille BlueKeep pour compromettre des victimes ciblés, la faille n’a pas encore été exploité à une échelle plus importante, comme les attaques WannaCry ou NotPetya.