Microsoft nous incite fortement à corriger nos systèmes après une attaque BlueKeep partiellement réussie

Cybersécurité

Microsoft a demandé aux utilisateurs de corriger leurs systèmes Windows suite au signalement d’attaques à grande échelle basées sur la vulnérabilité BlueKeep.

bluekeep

BlueKeep est le nom de code d’une faille de sécurité appelée CVE-2019-0708, révélée pour la première fois en mai 2019. Cette faille, dans Windows 7 et Windows Server 2008, permet à des attaquants de pénétrer au sein d’un ordinateur via le RDP (Remote Desktop Protocol) de Windows, et sans avoir à passer, au préalable, par un quelconque écran de connexion RDP.

Il était techniquement difficile d’exploiter cette vulnérabilité, ce qui a déclenché une course effrénée pour corriger sur le terrain tous les systèmes avant qu’un individu ne publie un exploit opérationnel.

Une discussion approfondie sur l’attaque BlueKeep a eu lieu récemment dans un podcast Sophos :

Le chercheur en sécurité, Kevin Beaumont, qui surveille régulièrement un réseau de dispositifs honeypot afin de détecter des attaques BlueKeep, a tiré la sonnette d’alarme pour la première fois le 2 novembre 2019 :

Les plantages ont commencé le 23 octobre, a-t-il déclaré.

Ces machines jouaient en réalité le rôle du ‘canari dans la mine de charbon‘, car elles n’exposaient que le port utilisé pour le service RDP, lequel était potentiellement sensible à la vulnérabilité BlueKeep.

Selon MalwareTech, alias Marcus Hutchins, cet exploit n’a pas été utilisé pour propager un ver (worm).

Dans une analyse du code d’attaque, Hutchins a découvert que celui-ci utilisait un exploit BlueKeep publié dans la suite pentest Metasploit de Rapid7 le 6 septembre dernier. Au lieu de se propager d’elle-même, l’attaque basée sur cet exploit a installé un mineur de cryptomonnaie.

Microsoft avait déjà les yeux rivés sur cette attaque. Dans un article de blog du 7 novembre, l’entreprise a déclaré que les attaques lancées sur le honeypot RDP de Beaumont avaient déclenché un mécanisme de détection comportementale dans son service de sécurité pour entreprise Defender Advanced Threat Protection (ATP). La société a déclaré qu’elle avait installé un filtre pour rechercher l’exploit Metasploit en septembre dernier.

Le mécanisme de détection comportementale a détecté, tous les jours, 10 fois plus de plantages au niveau des systèmes endpoint avec le RDP activé, à partir du 6 septembre, passant ainsi de 10 à 100.

La société a averti qu’il ne s’agissait peut-être pas du dernier exploit BlueKeep que nous verrons circuler. Elle a déclaré que :

Les signaux de sécurité et les analyses forensiques montrent que le module BlueKeep Metasploit a provoqué des plantages dans certains cas, mais nous ne pouvons pas ignorer une potentielle montée en puissance qui déboucherait sur des attaques plus efficaces. En outre, bien qu’il n’y ait pas eu d’autres attaques confirmées impliquant des ransomwares ou d’autres types de malwares au moment de la rédaction de cet article, l’exploit BlueKeep sera probablement utilisé pour propager des charges virales plus puissantes et plus dommageables que de simples mineurs de cryptomonnaie.  

L’entreprise a donné le même conseil qu’elle avait déjà donné aux utilisateurs depuis la première apparition de l’exploit BlueKeep : patchez vos systèmes !

Le chercheur scientifique principal de Sophos, Paul Ducklin, a déclaré ceci :

Si vous êtes inquiet à propos de BlueKeep parce que vous n’avez pas encore installé le correctif, il vous manque probablement les correctifs des six derniers mois qui ont accompagné celui de BlueKeep, publié en mai 2019.  

Prenez donc cette alerte BlueKeep comme l’ultime rappel censé vous réveiller pour de bon et arrêtez donc de reporter indéfiniment ces mises à jour. Patchez tôt, Patchez souvent, pour ne pas donner aux cybercriminels, même les moins expérimentés, la clé pour entrer gratuitement au sein de votre réseau.


Billet inspiré de Microsoft urges us to patch after partially effective BlueKeep attack, sur Sophos nakedsecurity.

Leave a Reply

Your email address will not be published.