Compartilhe:

Prepare-se para uma possível “segunda onda” de um ataque cibernético em larga escala, já que o SMB (Server Message Block) não foi o único protocolo de rede vulnerável cujos exploits zero-day criados pela NSA foram divulgados pelo grupo Shadow Brokers no mês passado. A ferramenta EsteemAudit é uma das que foram divulgadas recentemente pelo grupo.

Embora a Microsoft tenha liberado quase que imediatamente correções para as falhas do SMB para versões de Windows com e sem suporte após o surto do ransomware WannaCry, a empresa ignorou a correção de outras três ferramentas de hacking da NSA, apelidadas de “EnglishmanDentist”, “EsteemAudit” e “ExplodingCan”.

Já fazem quase duas semanas que o ransomware WannaCry começou a se espalhar, infectando quase 300 mil computadores em mais de 150 países em apenas 72 horas, mesmo tendo a sua ação freada.

Para quem não sabe, o WannaCry explorou uma falha zero-day no protocolo SMB do Windows, permitindo que atacantes sequestrassem remotamente PCs que estivessem executando o Windows sem correção e depois se infectava outros sistemas não corrigidos utilizando sua capacidade de worm.

EsteemAudit: Mais de 24.000 PCs ainda estão vulneráveis

O EsteemAudit é outra perigosa ferramenta de hacking criada pela NSA que foi vazada pelo grupo Shadow Brokers, visando o serviço RDP (porta tcp/3389) em máquinas com Windows 2003 e XP.

Desde que a Microsoft deixou de oferecer suporte ao Windows 2003 Server e Windows XP, ao contrário do EternalBlue, a empresa não liberou nenhuma correção de emergência para o EsteemAudit. Mais de 24 mail sistemas vulneráveis ainda permenecem expostos na Internet para qualquer pessoa invadir, ou pelo menos tentar.

“Basta uma máquina estar infectada para que toda a empresa esteja em risco de ser explorada”, dizem Omri Misgav e Tal Liberman, pesquisadores da empresa de segurança cibernética Ensilo, que ano passado descobriram uma técnica utilizada por atacantes chamada de AtomBombing, e que agora disponibiliza uma correção não-oficial para o EsteemAudit.

O EsteemAudit também pode ser utilizado como um malware com capacidade de worm, semelhante ao ransomware WannaCry, podendo se disseminar nas redes corporativas, deixando milhares de sistemas vulneráveis ao ransomware, espionagem e a outros ataques maliciosos.

Os criadores de ransomware, como os que estão por trás do CrySiS, Dharma e SamSam, que já estão infectando computadores via protocolo RDP utilizando ataques de força bruta, podem também tirar proveito do EsteemAudit a qualquer momento para ataques em larga escala e causar o mesmo impacto que o WannaCry.

Como proteger seus computadores?

EsteemAudit

EsteemAudit / Shodan / WannaCry

Devido ao estrago causado pelo WannaCry, o serviço SMB ganhou muita atenção, ficando de lado o RDP.

Atualmente, os computadores com Windows XP representam mais de 7% dos sistemas operacionais de desktop ainda em uso. A indústria de segurança cibernética estima que mais de 600 mil servidores web acessíveis na Internet, que hospedam mais de 175 milhões de sites, ainda rodam o Windows 2003 Server. Isso representa cerca de 18% da quota de mercado global”, dizem os pesquisadores

Uma vez que a Microsoft não tenha liberado nenhuma correção para esta vulnerabilidade, os usuários e empresas são aconselhados a atualizarem seus sistemas para versões mais atuais, a fim de se protegerem dos ataques do EsteenAudit.

“Das três ferramentas restantes, ” EnglishmanDentist “,” EsteemAudit “e” ExplodingCan “, nenhuma delas funciona nos sistemas operacionais em que a Microsoft oferece suporte, o que significa que não estão em risco os clientes que utilizam o Windows 7 e versões mais recentes do Windows ou Exchange 2010 e versões recentes do Exchange”, diz a Microsoft.

Se você ou sua empresa tem dificuldades em atualizar os sistemas o mais breve possível, proteja a porta RDP de seus servidores, desativando-a ou colocando-a atrás de um firewall.

A empresa enSilo liberou uma correção para ajudar os usuários do Windows XP e Windows 2003 Server a protegerem suas máquinas contra o EsteemAudit. Você aplicar esta correção, mas tenha em mente que ela não é a oficial da Microsoft.

Se tiver alguma dúvida sobre esta correção, a enSilo é uma empresa de segurança cibernética de renome, embora esperamos que a Microsoft libere sua correção oficial antes de qualquer alarde com foi com o WannaCry.

Em breve postarei maiores informações sobre o EsteemAudit.

Fonte:

http://thehackernews.com/2017/05/esteemaudit-windows-hacking.html

Compartilhe: