Staat BlueKeep al op de agenda van uw organisatie?

Al enige weken heerst er een bepaalde onrust binnen de cybersecurity community. De oorzaak hiervan is de publicatie van BlueKeep. Een kwetsbaarheid binnen de implementatie van Microsoft in het Remote Desktop Protocol ook wel RDP genoemd. Maar waar komt deze onrust nu precies vandaan?

De reden hiervoor is tweeledig. Enerzijds de hoeveelheid kwetsbare systemen wereldwijd die direct vanaf het internet bereikbaar zijn. Dit aantal wordt geschat op ruim 2,5 miljoen systemen en anderzijds de aard van dit type kwetsbaarheid. Waar de security professional de potentiële impact voor zijn organisatie kan inschatten blijft dat voor anderen moeilijk.

Waarom waarschuwen?

Dit specifieke type kwetsbaarheid leent zich om grootschalige verspreiding te faciliteren. Hierdoor kunnen kwetsbare systemen de ingang zijn voor de malware om zich verder te verspreiden binnen het deel van uw IT-infrastructuur die niet vanaf het internet bereikbaar is.

Deze combinatie zorgt ervoor dat de kans dat het fout gaat bijzonder groot is en de impact zeer hoog. Dit zorgt voor grote onrust bij security professionals. Zeker nu blijkt dat het aantal kwetsbare systemen groter lijkt te zijn dan de vorige kwetsbaarheid EternalBlue. In 2017 zorgde WannaCry voor grote opschudding (onderzocht door BitSight). Het grote verschil met toen is dat er op dit moment nog geen kwaadaardige software beschikbaar is die van de Bluekeep kwetsbaarheid misbruik maakt. (zie tijdlijn Wannacry)

Wat betekent dit voor Nederland?

Wat zou de mogelijke impact voor Nederlandse systemen kunnen zijn? Om dat te bepalen ben ik op onderzoek gegaan. Met behulp van de website CIPRG heb ik opgezocht welke IP-reeksen aan Nederland zijn gelieerd. Dit komt neer op ruim 47,5 miljoen adressen waar zich een kwetsbaar systeem achter kan bevinden. Deze adressen heb ik gecontroleerd met behulp van masscan op het gebruik van de veelgebruikte netwerkpoorten voor het RDP-protocol.

Uit deze scan kwamen zo’n 127 duizend systemen naar voren die op minimaal één van de onderzochte netwerkpoorten vanaf het internet benaderbaar zijn. De volgende stap was het bepalen hoeveel van deze systemen ook daadwerkelijk kwetsbaar zijn en mogelijkerwijs een ingang vormen voor kwaadwillende. Van deze 127 duizend systemen bleken ruim 6.000 systemen kwetsbaar (vastgesteld met rdpscan). Nu is dit aantal misschien niet direct schokkend, echter weten we niet hoeveel honderden of duizenden systemen achter deze ingang zitten. Echter indien de organisatie de systemen die aan internet hangen niet voorziet van updates durf ik wel te stellen dat dit intern hoogstwaarschijnlijk ook niet gebeurt.

Hoe nu verder?

De reden voor zorg blijkt meer dan gegrond en geeft wederom aan dat veel organisaties de impact voor hun onderneming niet kunnen overzien of onderschatten. Daarnaast blijft de basis hygiëne een punt van aandacht. Het tijdig installeren van software updates blijft een essentiële stap in het verkleinen van het aanvalsoppervlakte en daarmee de kans op een potentieel security incident. 

Meer weten over ons onderzoek naar Bluekeep of wat je kan doen? Kijk bij ons andere artikel met tips & trics

Auteur:Maikel Roolvink

Manager Security Services