<div dir="ltr"><a href="https://blog.talosintelligence.com/2019/09/the-latest-on-bluekeep-and-dejablue.html">https://blog.talosintelligence.com/2019/09/the-latest-on-bluekeep-and-dejablue.html</a><br><div><br></div><div>Ok, so as someone pointed out in private email, they have a blog that goes through a 20 step process to exporting your private key from your RDP server to the MITM box that is parsing the protocol. I think this is an unlikely configuration, but in theory it IS possible. An anomaly detection algorithm might be a better option for real world detection, even though it is not specific to the bug. </div><div><br></div><div>In other words, just to annoy Rob Graham, maybe network defenses can't really find every bug they want to - not just because they should not be edge-devices with vast repositories of every private key on your network, but because parsing requires state and state requires memory and you don't have infinite memory. </div><div><br></div><div><a href="https://vimeo.com/357848836">https://vimeo.com/357848836</a> <---also watch the INFILTRATE teaser! :)<br></div><div><br></div><div>ALSO: I'm headed to Tel Aviv next week if there's any infosec stuff happening there and anyone wants to say hi! </div><div><br></div><div>-dave</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 4, 2019 at 12:57 PM Dave Aitel <<a href="mailto:dave.aitel@gmail.com">dave.aitel@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>So I like the BLUEKEEP marketing train because it's a very hard bug to detect authoritatively for either endpoint protection or for network-based defenses. So when companies make claims about it, it's worth asking how they did that. Twitter is a terrible place for that, but since I know everyone in the industry who does this kind of thing is on this list I figured I'd ask here...</div><div><br></div><div>-dave</div><div><br></div><div><br></div><a href="https://twitter.com/daveaitel/status/1169265348669005825" target="_blank">https://twitter.com/daveaitel/status/1169265348669005825</a><br><div><br></div><div><div><img src="cid:ii_k05i3ixi0" alt="image.png" width="295" height="542"><br></div></div><div><br></div></div>
</blockquote></div>