Image default
Vulnerabilidades

BlueKeep: Um novo WannaCry pode estar surgindo

Recentemente foram identificadas intensas varreduras na Internet em busca de sistemas Windows suscetíveis a vulnerabilidade do BlueKeep (CVE-2019-0708). Esta vulnerabilidade afeta o serviço RDP (Remote Desktop Protocol), incluindo versões mais antigas do Windows, como o XP, 7, Server 2008 e 2003.

A Microsoft liberou no dia 14 de maio correções para esta vulnerabilidade, como parte das atualizações de terça-feira de maio de 2019, e orientou os usuários e empresas a aplicarem as devidas correções o mais rápido possível, classificando o problema como MUITO PERIGOSO e alertou que o CVE-2019-0708 poderia ser utilizado para criar malwares auto-replicantes.

Muitos compararam o BlueKeep ao exploit do EthernalBlue, que foi utilizado em 2017 durante os ataques do ransomware WannaCry, NotPetya e Bad Rabbit.

Nenhuma demo de PoC está disponível (ainda)

Por esta razão e por conta deste boletim da Microsoft, nas últimas duas semanas, a comunidade de infosec tem estado atenta a sinais de ataques ou à publicação de qualquer demo de PoC que possa simplificar a processo de criação de exploits para o RDP, e automaticamente iniciar os ataques.

Até o momento, nenhum pesquisador ou empresa de segurança publicou qualquer PoC, por razões óbvias, já que isso poderia ajudar os atacantes a iniciar ataques em massa.

O NCC Group desenvolveu regras de detecção para equipamentos de segurança de rede a fim que as empresas pudessem detectar quaisquer tentativas de exploração, e a 0patch desenvolveu um pequeno patch que pode corrigir temporariamente os sistemas até que eles recebam a atualização oficial.

Outras empresas desenvolveram com sucesso exploits do BlueKeep, mas que pretendx’eram não divulgar. A lista inclui a Zerodium, McAfee, Kaspersky, Checkpoint, MalwareTech e Valthek.

Além disso, o pesquisador de segurança da RiskSense, Sean Dillon, também criou uma ferramenta que ajuda as empresas a validarem seu ambiente para verificarem se seu parque de computadores foi corrigido e se está protegido contra a falha do BlueKeep.

Varreduras em busca de sistemas vulneráveis ao BlueKeep

Enquanto a comunidade de segurança da informação estava respirando mais aliviada, achando que os ataques nunca iriam começar, as coisas começaram a mudar no final de semana.

No sábado, a empresa de inteligência contra ameaças cibernéticas, GreyNoise, começou a detectar varreduras na Internet em busca de sistemas Windows vulneráveis ao BlueKeep.

O fundador da GreyNoise, Andrew Morris, em entrevista ao site ZDNet, disse acreditar que o atacante estaria utilizando um módulo do Metasploit detectado pela RiskSense, para varrer a Internet em busca do host vulnlerável do BlueKeep.

Esta ação foi observada exclusivamente à partir de nós de saída do Tor e provavelmente está sendo executada por uma única pessoa” disse ele em um tweet no sábado.

Por enquanto, são apenas varreduras e não tentativas reais de exploração.

No entanto, parece que pelo menos uma pessoa está investindo bastante tempo e esforço na criação de uma lista de hosts vulneráveis, provavelmente se preparando para os ataques reais.

Com pelo menos 6 empresas revelando que desenvolveram seus próprios exploit do BlueKeep, e pelo menos duas publicações detalhando os detalhes da vulnerabilidade do BlueKeep (essa e essa), será apenas uma questão de tempo até que os atacantes criem seus próprios exploit.

Essas varreduras com origem da rede Tor que a GreyNoise citou, e que Morris disse ao site ZDNet que estão em curso no momento da escrita do post (o da ZDNet), são um primeiro sinal de que as coisas realmente podem piorar. Irem de mal a pior!

Fonte:

https://www.zdnet.com/article/intense-scanning-activity-detected-for-bluekeep-rdp-flaw/

Posts similares

Vulnerabilidade no webserver GoAhead afeta milhares de dispositivos IoT

O Analista

NetSpectre: vulnerabilidade Spectre agora pode ser explorada remotamente

O Analista

CVE-2017-12163: Vulnerabilidade afeta protocolo SMBv1 do Samba

O Analista