Depuis qu'elle a été découverte il y a six mois, la vulnérabilité BlueKeep a eu (non seulement) la communauté de la cybersécurité préoccupée par des attaques imminentes du type WannaCryptor. Plus tôt en novembre, Microsoft et les chercheurs en sécurité Kevin Beaumont et Marcus Hutchins ont fait la lumière sur la première campagne malveillante qui visait à exploiter la faille critique de l'exécution du code à distance (RCE). Les attaques visaient des systèmes Windows vulnérables non corrigés pour installer des logiciels de cryptominage, mais étaient loin des dommages causés par WannaCryptor alias WannaCry en mai 2017.
Suivi sous le nom CVE-2019-0708, BlueKeep a été trouvé dans un composant Windows connu sous le nom de Remote Desktop Services. Il affecte les machines exécutant des versions non corrigées de Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2. Malheureusement, il y a encore un grand nombre de systèmes qui n'ont pas été corrigés, même si Microsoft a lancé le patch le 14 mai.
Les premiers exemples de la campagne de numismatique remontent au 23 octobre. Après une inspection plus poussée de la part des chercheurs de Microsoft, ils ont découvert qu'une campagne antérieure qui avait eu lieu en septembre avait utilisé un implant principal qui avait contacté les mêmes serveurs de commande et de contrôle (C&C) que l'attaque d'octobre. Des machines ont été touchées dans un certain nombre de pays, notamment en France, en Russie, en Italie, en Espagne, en Ukraine, en Allemagne et au Royaume-Uni.
Les attaquants ont utilisé un exploit BlueKeep qui a été publié par l'équipe de Metasploit en septembre. Ils balaient d'abord l'Internet à la recherche de machines dotées de services RDP (Remote Desktop Protocol) vulnérables, puis déploient l'exploit et installent le logiciel de cryptominage.
L'exploit est instable, comme en témoignent les nombreux crashs enregistrés liés à la RDP qui ont été signalés par les signaux de sécurité de Microsoft. C'est aussi à cause de ces accidents que les attaques ont été découvertes en octobre par le chercheur en sécurité Kevin Beaumont, après qu'il eut rapporté que ses honeypot eurent « crashés ».
Bien que l'attaque puisse sembler décevante compte tenu de la couverture médiatique dont la vulnérabilité de BlueKeep a fait l'objet, le pire est peut-être encore à venir. La vulnérabilité est « vermouillable », ce qui signifie que les exploits futurs pourraient l'utiliser pour répandre des logiciels malveillants à l'intérieur ou à l'extérieur des réseaux de la même manière que ce qui a été observé avec WannaCryptor.
La gravité de la situation ne doit pas être sous-estimée, Microsoft ayant diffusé trois alertes depuis le mois de mai et exhortant ses utilisateurs à mettre à jour et à corriger les machines vulnérables. Plus tôt cette année, la National Security Agency (NSA) des États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA) ont émis leurs propres avertissements. Récemment, l'Australian Cyber Security Centre (ACSC), division de l'Australian Signals Directorate, a également appelé à la vigilance.