Microsoft'un yeni WannaCry'ı mümkün kılmasından korktuğu yeni bir açık şuan satışa sunulmuş vaziyette.

Resim

Amerikan menşeili bir güvenlik şirketinin başlattığı satıştı BlueKeep açığı bir pentest aracının parçası olarak satılıyor.

BlueKeep, diğer adıyla CVE_2019-0708, eski Windows sürümlerindeki uzak masaüstü protokolünün (RDP) bir parçası olarak geliyor.

BlueKeep için gerekli güvenlik güncellemeleri Microsoft tarafından 14 Mayıs tarihinde yayınlanmış olup, EternalBlue'ya benzer bir şekilde kendini çoğaltabileceği ve WannaCry tarzı bir ransomware salgınının ortaya çıkmasına yol açabileceği açıklandı.

Son 2 aydır güvenlik departmanı araştırmacıları virüs yazarlarının bu açığı silaha dönüştürememeleri için soluksuz çalışıyorlar

Birkaç siber-güvenlik şirketi tamamen işlevsel olan BlueKeep açıkları yarattıklarını bildirdiler, ancak bunu kanıtlayan bir döküman göndermeyi reddettiler. Bunun nedeni olarak, bilginin kötüye kullanılıp daha önceki WannaCry tarzı saldırıların tekrarından endişe ettiklerini söylediler.

BlueKeep açığı bir pen-test aracının parçası olarak satışta

23 Temmuz Salı günü, CANVAS v7.23 ün bir parçası olarak gelen BlueKeep açığı, Immunity şirketi tarafından tam işlevsel bir şekle getirilip şirketin pentest araçlarının arasında eklendiği duyuruldu.



Geçmişte GitHub'a RDP servisinin açık olması şartıyla uzaktan Windows sistemleri çökertebilecek birkaç BlueKeep açığı yüklenmişti. Immunity'nin CANVAS BlueKeep modülü enfekte edilmiş sistemde bir komut istemcisi açarak uzaktan kod çalıştırabilir.



CANVAS lisansları on binlerce Amerikan dolarına mal olurken, hackerlar korsan olarak bunları ediniyor yada pentest araçlarını satın alıyorlar (Cobalt Strike gibi)



Immunity BlueKeep açığını siber-güvenlik analistlerinin BlueKeep açığını hakkındaki araştırmalarını paylaşıp, ortaklaşa bir çalışma düzeni kurmalarıyla aynı gün yayınlandı. Ancak, Dave Aitel, Immunity şirketinin CEO'su, açığı kendi çalışmalarının bir sonucu olarak bulduklarını, geçen hafta sonu Çin'de düzenlenen bir güvenlik konferansında Çin'li bir güvenlik araştırmacısının yazdığı eleştiri yazısından çalıntı olmadığını iddia ediyor.

Immunity'nin BlueKeep açığı yaygınlaşmadan önce şirketlerin ve kullanıcıların hala sistemlerini güncellemeye vakitleri var.

BlueKeep XP, Vista, 7, Server 2003/2008 sistemlerini etkilemektedir. Bu sistemler için güncellemeler için;

https://portal.msrc.microsoft.com/en-US ... -2019-0708

Modern Windows 10 sistemler açıktan etkilenmiyor.

Mayısın sonunda güvenlik araştırmacıları yaklaşık 1 milyon sistemin tehlikede olduğunu tahmin ediyor. BitSight firması tarafından temmuz'un başında yapılan yeni bir analiz ise bu sayının yaklaşık 805.000 civarına düştüğü saptandı.


Zemin hazırlığı

Malware grupları henüz BlueKeep açığını ellerine geçirememiş olsalar da, bu onları zemin hazırlığı yapmaktan da alı koymadı.

Mayıs ayının sonlarına doğru, Tor ağı üzerinden agresif bir şekilde internet üzerindeki Window sistemleri tarayıp bu açığı barındıran Windows sistemleri bulmak için tarama başlatıldı. O zamandan beri taramalar kademeli olarak arttı. WatchBog botnet ağı da bu hafta sonu bu taramalara katıldı.

Pual Litvak'a göre (Intezer laboratuvarı, güvenlik araştırmacısı) WatchBog operatörlerine (Gizlici crypto-madencilik yapması için enfekte edilmiş Linux serverlar) yakın zamanda BlueKeep tarama özelliği eklendi.

Litvak "Bu WatchBog'un enfekte edilebilir sistemleri tespit edip 3. partilere kar amacı ile satacağının işaretidir" diye yorumladı.

Siber-güvenlik topluluğu şu an BlueKeep'e nükleer kıyamet günü saati gözüyle bakıyorlar ve bunun için iyi bir nedenleri var. Bu çok tehlikeli güvenlik açığıdır ve şirketler saatler gece yarısını gösterdiğinde sistemlerine sızılmasını önlemek için bir an önce güvenlik güncellemesini yapmalılar.


Bu yeni BlueKeep açığı ve WatchBog hakkında ne düşünüyorsunuz? Düşüncelerinizi yorumlar bölümüne yazmayı unutmayın. İyi günler dilerim.