Het BlueKeep-beveiligingslek in de Remote Desktop Services (RDS) van oudere Windowsversies waarvoor op 14 mei een patch verscheen wordt actief aangevallen, zo melden onderzoekers en een securitybedrijf. De kwetsbaarheid is aanwezig in Windows XP, Server 2003, Windows 7 en Server 2008.

Een aanvaller hoeft alleen via het remote desktopprotocol verbinding te maken om kwetsbare machines over te nemen. Het is daarbij niet nodig om geldige inloggegevens te gebruiken. De afgelopen maanden waarschuwden Microsoft, de Nederlandse overheid en andere overheden voor het beveiligingslek en adviseerden om de beschikbare beveiligingsupdate zo snel als mogelijk te installeren. Desondanks waren er in augustus nog 800.000 computers die de update niet hadden geïnstalleerd en via internet toegankelijk waren.

Aanvallers gebruiken de kwetsbaarheid nu om een cryptominer op kwetsbare computers te installeren die de rekenkracht van de machine gebruikt om cryptovaluta te delven. Onderzoeker Marcus Hutchins van securitybedrijf Kryptos Logic spreekt inmiddels over grootschalig misbruik van het lek. De BlueKeep-kwetsbaarheid zou in theorie door een worm gebruikt kunnen worden om zich te verspreiden. Daar is echter op dit moment geen sprake van, aldus Hutchins. De onderzoeker vermoedt dat de aanvallers met een lijst van kwetsbare ip-adressen werken.

Hij noemt het ook merkwaardig dat de kwetsbaarheid nu pas wordt aangevallen, aangezien het lek al een half jaar bekend was. Hutchins bestempelt de aanvallen als zorgwekkend, maar merkt ook op dat de securitygemeenschap een veel ernstiger scenario had voorspeld. Zo werd er onder andere voor een wormuitbraak zoals WannaCry gewaarschuwd. Dat is op dit moment niet het geval. "Het lijkt erop dat een low-level actor het internet heeft gescand en opportunistisch kwetsbare machines via kant-en-klare penetratietesttools heeft geïnfecteerd", besluit de onderzoeker.