RDP-exploit oogst in 22 seconden alle wachtwoorden
Een security-onderzoeker heeft in een video zijn exploit geshowd voor de grote BlueKeep-kwetsbaarheid in RDP. Die technologie voor het op afstand bedienen van Windows-computers laat met zijn kant-en-klare Metasploit-module onbevoegden binnen op clients én servers. In de demonstratie van de vooralsnog onder de pet gehouden module wordt in luttele seconden diepgaande rechten verkregen op het kwetsbare systeem.
Patchpressie
Het gaat daarbij om Windows Server 2008 R2 (Release 2), wat wereldwijd dienst doet bij vele organisaties. Opvolger Server 2012 is qua marktaandeel pas in april 2017 bijna net zo groot geworden. In januari komend jaar vervalt Microsofts support voor de R2-uitvoering van de 2008-versie, net als voor Windows 7 wat ook kwetsbaar is voor dit RDP-gat.
Afgelopen maand heeft Microsoft dus nog wel een kritieke patch uitgebracht voor deze ernstige RDP-kwetsbaarheid. Vlotte installatie daarvan wordt met klem aangeraden - door Microsoft, security-experts en ook de NSA - omdat de vrees bestaat voor een aankomende worm die deze kwetsbaarheid volautomatisch uitbuit.
De nu openlijk geshowde, maar níet vrijgegeven, Metasploit-module bekrachtigt die vrees. Onderzoeker Sean Dillon van securitybedrijf RiskSense heeft zelf een exploit ontwikkeld in de vorm van een makkelijk bruikbare module voor securityframework Metasploit. Die tool is nuttig voor beheerders, securityprofesionals en pentesters, maar ook voor kwaadwillenden.
Zijwaartse beweging
In de video valt te zien hoe Dillon de diepgaande SYSTEM-rechten op het doelsysteem krijgt. Daarna benut hij mogelijkheid om andere tools te laten uitvoeren op het gehackte systeem om de rijke oogst van wachtwoorden voor andere computers in handen te krijgen. Het gaat hierbij om de krachtige opensourcetool Mimikatz die hashes van wachtwoorden kan benutten om aanvallers verdere toegang te geven binnen netwerken.
Hiermee komt de dreiging van zijwaartse (lateral) beweging in beeld, waarbij cyberinbrekers dan terecht komen op andere systemen in een netwerk. Toegang tot die andere systemen gebeurt dan met valide inloggegevens, dus of het patchniveau op orde is of niet is dan irrelevant. De Metasploit-module is nu nog te gevaarlijk om vrij te geven, maar de eerstkomende mega-worm voor BlueKeep kan daar verandering in brengen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee