Bluekeep nýtt til at leypa á teldur

3. november. 2019

Bluekeep vandin er ikki longur teoretiskur

Í juli mánaði ávaraði kt-trygd.fo móti Bluekeep, sum er ein veikleiki í fjaratgongdtøknini í nøkrum Windows stýrisskipanum. Fyri at vita meir um, hvat Bluekeep er, kanst tú lesa innleggið "Hvat er Bluekeep, og hvør er í vanda?". 

Stutt eftir, at Bluekeep veikleikin kom fram, vórðu fleiri forrit gjørd atkomilig á internetinum, sum kundu leita eftir teldum, sum vóru sárbarar móti Bluekeep. Nakrar kt-trygdarfyritøkur megnaðu eisini at gera forrit, sum nýttu Bluekeep til at yvirtaka teldur. Tað vísti seg tó, at hetta ikki var heilt lætt, og teldusníkarnir tyktust tá ikki at hava megnað at framleitt nakað líknandi forrit.

Sum við so nógvum øðrum, so var tað einans ein spurningur um tíð, og leygarkvøldið varð boðað frá, at teldusníkar í løtuni nýta Bluekeep til at leypa á og yvirtaka teldur kring allan heimin.

Tað jaliga í álopinum, sum er í gongd í løtuni er, at tað ikki er serliga framkomið og tann skaðin, sum álopið ger, er avmarkaður. Tær kanningar, sum eru gjørdar higartil vísa, at teldusníkarnir royna at yvirtaka teldurnar fyri at nýta tær til at vinna sær talgildan pening. Hetta er ofta nakað, sum krevur ógvuliga nógv av telduni, og kann gera, at teldan fer at arbeiða seint.

Sjálvt um hetta álopið ikki ger tann heilt stóra skaðan, so eigur hetta at síggjast sum ein ávaring, sum átti at fingið allar stovnar, fyritøkur og privatpersónar, sum nýta fjaratgongd til at kannað, um teirra teldukervi er tryggja móti Bluekeep. Hvat tað næsta verður, sum teldusníkarnir finna uppá at nýta Bluekeep til, kunnu vit einans gita um.

 

Tað er lætt at verja seg móti Bluekeep

Í mai mánaði gav Microsoft út dagføringar, sum verja tína teldu móti Bluekeep. Tey flestu hava sett sína teldu upp til sjálvvirkandi at heinta dagføringar, og eru tískil longu vard móti Bluekeep. Tað kann tó vera annarleiðis í fyritøkum og størri netverkum, tí har verða dagføringar til ymsar servarar ofta ikki heintaðar sjálvvirkandi. Um netumsitarin í tí føri ikki sjálvur hevur heintað dagføringarnar, er alt netið hjá tí fyritøkuni í vanda fyri at verða yvirtikið.

 

Tann meir tekniski parturin og IOCs (Indicators of compromise)

Tað var kt-trygdarserføðingurin Kevin Beaumont, sum leygarkvøldið gjørdi vart við Bluekeep álopið. Hann hevur sett upp fleiri honeypots kring heimin, sum eru settir upp til at halda eftirlit við møguligum Bluekeep álopum. Hann legði til merkis, at allir hansara honeypots uttan ein vórðu sløknaðir og tendraðir aftur eftir sokallað BSOD (Blue Screen of Death). Ein kanning av RAM vísti, at talan var um Bluekeep álop, har endamálið var sokallað "cryptomining" av talgilda peninginum, sum eitur Monero.

Álopið hevur onga funku til sjálvvirkandi at halda áfram við álopinum innanhýsis í teldukervinum (lateral movement), tá tað fyrst eydnaðist at yvirtaka eina teldu. Hetta merkir, at tað einans eru teldur, hvørs fjaratgongd er beinleiðis atkomilig ígjøgnum internetið, sum verða álopnar. Hetta kann tó skjótt broytast, um aðrir, meir framkomnir teldusníkar, velja at nýta Bluekeep til at fremja telduálop.

Hetta álopið setur seg í samband við tvær ymsar IP-addressur, sum verða nýttar til álopið. Tær eru:

109.176.117.11:8000

5.100.251.106:52057

Fyri at vita, um eitt teldukervi er rakt av álopinum, kann netumsitarin tískil kannað teirra loggar fyri at vita, um nøkur av teirra teldum hevur havt samband við hesar IP-addressur.

Kevin Beaumont hevur skrivað eitt innlegg um Bluekeep og hansara kanningar. Innleggið, "Bluekeep exploitation activity seen in the wild", kann lesast við at trýsta her.