Six mois après avoir été découverte et patchée, la faille Bluekeep refait parler d’elle. Un chercheur en sécurité a en effet découvert une campagne malveillante l’exploitant afin d’installer sur les machines visées un cryptominer. On est bien loin des craintes initiales d’un DDoS d’ampleur mondiale.
En avril dernier, le National Cyber Security Centre découvrait une faille affectant d’anciennes versions de Windows (de XP à 7, en passant par Server 2003 et 2008). CVE-2019-0708, qui sera plus tard baptisée BlueKeep, se situait dans Remote Desktop Services et permettait, si exploitée, à un attaquant « d’exécuter du code arbitraire sur le système cible […] puis d’installer des programmes ; afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes avec des droits d'utilisateur complets ».
Bref, BlueKeep était une bien vilaine vulnérabilité laissant craindre le pire, tant et si bien que Microsoft décidait de patcher Windows XP, dont le support avait définitivement cessé en 2015. Depuis, CVE-2019-0708 était retombé dans l’oubli. Jusqu’à ce que Kevin Beaumont, un chercheur en sécurité, remarque que ses vieux honeypots BlueKeep commençaient à afficher des BSOD (le fameux écran bleu de la mort). Il partage alors les informations relatives à ces crashs avec Kryptos Logic et Marcus Hutchins. Ce dernier y découvre « des artefacts BlueKeep en mémoire et un shellcode pour déposer un mineur Monero ».
L’œuvre de br-hack-assés ?
En d’autres termes, BlueKeep était pour la première fois (officiellement) exploitée dans le cadre d’une campagne malveillante. Mais nous sommes bien loin des scénarios catastrophes avancés en mai dernier. Ici, et contrairement à la faille EternalBlue qui avait permis WannaCry, les attaquants n’ont pas doté leur programme de capacité d’auto-réplication, entendre par là que le « ver » (qui n’en est pas tout à fait un) ne peut procéder par saut de puce pour se répandre d’une machine à l’autre, et ce automatiquement. « Il semble probable qu'un acteur de bas niveau ait analysé Internet et infecté de manière opportuniste des hôtes vulnérables à l'aide d'utilitaires de test d'intrusion prêts à l'emploi » explique Kryptos Logic.
En outre, si BlueKeep offre un large éventail de possibilités à un attaquant, de la création d’un botnet au vol de données, les pirates se sont contentés d’un simple duo de scripts PowerShell déposant un cryptominer. Quand il fonctionne… La faille s’avère difficile à exploiter sans faire crasher le système d’exploitation, d’où les BSOD. Additionné au déploiement manuel du programme malveillant, il semble que les attaquants n’aient dans le cas présent pas les capacités techniques pour exploiter à son plein potentiel BlueKeep. Heureusement.
Cependant, Kevin Beaumont recommande la plus grande prudence : devant les crashs répétés de ses honeypots, il suggère « il peut y avoir plusieurs acteurs malveillants (tentatives d'exploitation multiples) ou des tentatives répétées du même acteur ». « C'est le premier exemple d'attaquants exploitant sauvagement la vulnérabilité de BlueKeep, ce qui devrait alarmer les organisations qui n'ont pas encore patché les systèmes vulnérables. Selon BinaryEdge, plus de 700 000 systèmes vulnérables sont accessibles au public » s'alarme pour sa part l'éditeur Tenable.