Windows 10
|

El exploit de BlueKeep en la naturaleza no es devastador, pero los detectives se mantienen cautelosos

Crédito: CC0 Public Domain

Un exploit de seguridad llamado BlueKeep está en estado salvaje. Los observadores de seguridad en numerosos sitios informaron que los investigadores habían detectado evidencia de explotación. HotHardware dijo que hasta ahora las señales eran que las máquinas afectadas se estaban utilizando para extraer criptomonedas.

(El error en el Protocolo de escritorio remoto de Microsoft, dijo Cableado, “permite a un pirata informático obtener la ejecución remota completa de código en máquinas sin parche”).

Davey Winder. que cubre la ciberseguridad, les dijo a los lectores en Forbes: La vulnerabilidad BlueKeep que existe en las versiones sin parches de Windows Server 2003, Windows XP, Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 ha recibido una nueva noticia: “ahora se ha confirmado que un ataque BlueKeep exploit está actualmente en curso “.

Como Cableado dijo, los investigadores han encontrado evidencia “de que sus llamados” honeypots “, máquinas de control diseñadas para ayudar a detectar y analizar brotes de malware, están siendo comprometidas en masa usando la vulnerabilidad BlueKeep”.

Paul Lilly en HotHardware dijo que el investigador de seguridad Kevin Beaumont había notado que “múltiples honeypots en su red EternalPort RDP fallaban y se reiniciaban”.

En julio, Lilly había entregado un informe de que los investigadores de seguridad de Sophos crearon una demostración de prueba de concepto que mostraba lo fácil que sería que un servidor RDP (Protocolo de escritorio remoto) sin parches se vea comprometido por BlueKeep, un error de Windows. En aquel entonces, los investigadores esperaban que la demostración asustaría a las empresas para que parchearan Windows.

Entonces, avancemos a este mes. ¿Cuál es el objetivo de BlueKeep? Andy Greenberg en Cableado dijo que “el hackeo generalizado de BlueKeep simplemente instala un minero de criptomonedas, absorbiendo el poder de procesamiento de la víctima para generar criptomonedas”.

No es que los expertos en seguridad no lo vieran venir. Forbes proporcionó un relato de los eventos.

“El 4 de junio”, escribió Winder, “la Agencia de Seguridad Nacional (NSA) dio el paso inusual de publicar un aviso instando a los administradores de Microsoft Windows a actualizar su sistema operativo o arriesgarse a un ‘impacto devastador’ y de ‘amplio alcance’ en la cara de una amenaza creciente.

“Esta advertencia recibió aún más seriedad el 17 de junio cuando el gobierno de EE. UU., A través de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), emitió una alerta de actividad de ‘actualización ahora’. Al mismo tiempo, los investigadores de seguridad estaban prediciendo que un ‘devastador “El exploit BlueKeep estaba a solo unas semanas de distancia”.

Ahora que estamos en noviembre, Kryptos Logic ha encontrado curioso “que esta vulnerabilidad antiparasitaria públicamente conocida, conocida por todos los que querrían saber durante al menos seis meses, tardó tanto en ser detectada como arma. Uno podría teorizar que los atacantes saben que tiene esencialmente una oportunidad de usarlo a gran escala, y se convierte en un juego de gallinas en cuanto a quién lo hará primero “.

Lilly dijo que la buena noticia aquí es que no se propagó por sí mismo.

Threatpost compartió su observación. “Los primeros ataques que explotan la vulnerabilidad de Windows de día cero instalan criptomineros y escanean en busca de objetivos en lugar de un gusano con potencial WannaCry”. Threatpost descubrió que los ataques eran “inicialmente decepcionantes”, no tan malos como podrían haber sido. Como Cableado Explicó, en lugar de un gusano que salta sin ayuda de una computadora a la siguiente, estos atacantes parecen haber escaneado Internet en busca de máquinas vulnerables para explotar “.

Kryptos Logic ha llegado a la conclusión de que la supuesta actividad era preocupante, {el blog de Kryptos Logic publicó un hilo de Twitter informando BSOD, pantallas azules de muerte, a través de la red de BlueKeep Honeypots de Beaumont]pero considere que la comunidad de seguridad de la información había predicho peores escenarios potenciales.

“Basándonos en nuestros datos, no estamos viendo un aumento en el escaneo indiscriminado en el puerto vulnerable como vimos cuando EternalBlue fue desparasitado a través de Internet en lo que ahora se conoce como el ataque WannaCry”.

Más bien, dijo Kryptos Logic, parecía probable que “un actor de bajo nivel escaneara Internet e infectara hosts vulnerables de manera oportunista utilizando utilidades de prueba de penetración listas para usar”.

Elizabeth Montalbán en Threatpost, sin embargo, resumió por qué “esto no significa que los administradores de seguridad puedan estar tranquilos todavía. Este desempeño inicial mediocre podría representar más la falta de sofisticación de los piratas informáticos que la naturaleza de la vulnerabilidad en sí”, señalaron los observadores.

Greenberg también prefirió no olvidar escenarios potenciales, de máquinas golpeadas con un tipo de malware más serio y más virulento que explota la persistente vulnerabilidad RDP de Microsoft. “Eso podría tomar la forma de un gusano ransomware en el modelo de NotPetya o también WannaCry, que infectó casi un cuarto de millón de computadoras cuando se propagó en mayo de 2017, causando daños entre $ 4 y $ 8 mil millones”.


Similar Posts

Leave a Reply