Microsoft upptäckte i somras en sårbarhet i protokollet rdp, och har sedan dess patchat sårbarheten som Server 2008 och 2008 R2, men i viss mån även Windows 7. Microsoft har varnat för sårbarheten flera gånger, även så sent som förra veckan. Problemet är att det finns många system som inte uppdaterats med patchen.
Den enda officiella attacken som bygger på Bluekeep utvecklades som ett så kallat proof-of-concept av Sean Dillon på Risksense. Kort efter det inkluderades bluekeep attacken i en desarmerad form som en modul i penetrationstest-verktyget Metasploit. Det är denna attack som får Windows-servrar att krascha. Det beror i sin tur på att attacken inte är kodad för den patch som Microsoft tog fram mot Intel-buggen Meltdown, rapporterar ZDNet.
Att metasploit-attacken används även för illasinnade syften märks på att de honungsfällor som detekterar bluekeep-attacker kraschar, enligt säkerhetsanalytikern Marcus Hutchins på MalwareTech. Inte heller cyberkriminella har tänkt på att räkna in Microsofts meltdown-patch. Att cyberkriminella lyckats fjärrexekvera kod råder det dock tvivel om, enligt samme Hutchins.
Hutchins menar också att it-säkerhetsindustrin fokuserar för mycket på Microsofts varningar om att Bluekeep kan göras till en självspridande mask. Bluekeep är fullt tillräcklig som den är för att ta ägandeskap av en Windows-server, och en mask är onödig och skulle bara avslöja attacken.
Läs också:
Microsoft: Bluekeep kommer bli värre – patcha nu
Bluekeep-buggen utnyttjas av hackare – uppdatera snarast
