Overslaan en naar de inhoud gaan

RDP-exploit oogst in 22 seconden alle wachtwoorden

Een ruwe versie van een exploitmodule voor securitytool Metasploit kan in slechts 22 seconden wachtwoorden buitmaken op kwetsbare Windows-systemen. De nog geheim gehouden Metasploit-module voor BlueKeep doet ongemerkt zijn malwarewerk, zoals het oogsten van versleutelde hashes van opgeslagen wachtwoorden voor andere computers. Vervolgens zijn die versleutelde credentials te kraken en te gebruiken voor diepere netwerkpenetratie. De vrees voor een RDP-worm groeit.
wachtwoorden
© CC0
CC0

Een security-onderzoeker heeft in een video zijn exploit geshowd voor de grote BlueKeep-kwetsbaarheid in RDP. Die technologie voor het op afstand bedienen van Windows-computers laat met zijn kant-en-klare Metasploit-module onbevoegden binnen op clients én servers. In de demonstratie van de vooralsnog onder de pet gehouden module wordt in luttele seconden diepgaande rechten verkregen op het kwetsbare systeem.

Patchpressie

Het gaat daarbij om Windows Server 2008 R2 (Release 2), wat wereldwijd dienst doet bij vele organisaties. Opvolger Server 2012 is qua marktaandeel pas in april 2017 bijna net zo groot geworden. In januari komend jaar vervalt Microsofts support voor de R2-uitvoering van de 2008-versie, net als voor Windows 7 wat ook kwetsbaar is voor dit RDP-gat.

Afgelopen maand heeft Microsoft dus nog wel een kritieke patch uitgebracht voor deze ernstige RDP-kwetsbaarheid. Vlotte installatie daarvan wordt met klem aangeraden - door Microsoft, security-experts en ook de NSA - omdat de vrees bestaat voor een aankomende worm die deze kwetsbaarheid volautomatisch uitbuit.

De nu openlijk geshowde, maar níet vrijgegeven, Metasploit-module bekrachtigt die vrees. Onderzoeker Sean Dillon van securitybedrijf RiskSense heeft zelf een exploit ontwikkeld in de vorm van een makkelijk bruikbare module voor securityframework Metasploit. Die tool is nuttig voor beheerders, securityprofesionals en pentesters, maar ook voor kwaadwillenden.

Zijwaartse beweging

In de video valt te zien hoe Dillon de diepgaande SYSTEM-rechten op het doelsysteem krijgt. Daarna benut hij mogelijkheid om andere tools te laten uitvoeren op het gehackte systeem om de rijke oogst van wachtwoorden voor andere computers in handen te krijgen. Het gaat hierbij om de krachtige opensourcetool Mimikatz die hashes van wachtwoorden kan benutten om aanvallers verdere toegang te geven binnen netwerken.

Hiermee komt de dreiging van zijwaartse (lateral) beweging in beeld, waarbij cyberinbrekers dan terecht komen op andere systemen in een netwerk. Toegang tot die andere systemen gebeurt dan met valide inloggegevens, dus of het patchniveau op orde is of niet is dan irrelevant. De Metasploit-module is nu nog te gevaarlijk om vrij te geven, maar de eerstkomende mega-worm voor BlueKeep kan daar verandering in brengen.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in