Cybercriminelen maken op grote schaal gebruik van de NSA-exploit voor een SMB-lek in Windows, zo meldt beveiligingsonderzoeker Kevin Beaumont aan de hand van eigen onderzoek. Het gaat om de EternalBlue-exploit waar ook de WannaCry-ransomware gebruik van maakt.

De exploit werd bij de NSA gestolen en in april openbaar gemaakt. Een maand eerder was de kwetsbaarheid die de aanval mogelijk maakt al door Microsoft gepatcht. Toch zijn er nog altijd kwetsbare systemen online te vinden. Beaumont wilde dan ook het gebruik van de exploit onderzoeken en besloot verschillende honeypots neer te zetten. Systemen die opzettelijk kwetsbaar zijn gemaakt en als doel hebben om te worden aangevallen. Op deze manier kunnen onderzoekers zien hoe aanvallers precies te werk gaan en deze informatie gebruiken om andere systemen te beschermen.

Beaumont had zijn systemen amper online gebracht en ze waren al gehackt via de EternalBlue-exploit. "De werkelijkheid is dat SMB-exploits die van MS17-010 gebruikmaken elke minuut een honeypot aanvallen", merkt de onderzoeker op. Hij laat weten dat we inmiddels weer terug zijn bij de Blaster-worm van tien jaar geleden. In de meeste gevallen gaat het om aanvallen door de WannaCry-ransomware. Daarnaast werden er ook "miners" waargenomen die besmette machines digitale valuta laten minen, alsmede remote access trojans (RATs) en pogingen om lateraal door het netwerk te bewegen.

In zijn voorlopige conclusie stelt Beaumont dat sommige beveiligingsleveranciers SMB-aanvallen niet goed genoeg detecteren en dat het belangrijk is dat organisaties patchen. Daarnaast waarschuwt hij voor het risico als inlichtingendiensten exploits niet goed beveiligen. "Dan zijn we allemaal minder veilig."

Bron: Security.nl