BlueKeep: a vulnerabilidade que está a deixar a indústria da segurança em suspense

12 de Junho de 2019

Saiba o que de mais importante aconteceu em torno do BlueKeep desde que a Microsoft emitiu um comunicado a recomendar a instalação das atualizações de segurança mais recentes, o mais rápido possível

Passaram mais de três semanas desde que a Microsoft lançou um comunicado a solicitar aos seus utilizadores a atualização dos seus sistemas operativos após ter sido detetada uma vulnerabilidade crítica identificada como CVE-2019-0708 que, segundo a empresa é perigosa pois, ao ser explorada, permitiria que uma ameaça se propague para outros computadores vulneráveis de forma similar à forma como se propagou o famoso ransomware WannaCry, em 2017. Com o passar das semanas, a comunidade de investigadores e especialistas de segurança têm-se mostrado muito ativos e atentos à evolução do que tem vindo a acontecer com o BlueKeep, e foi revelada informação que permite compreender a magnitude e características deste bug. Uma das últimas novidades surgiu no passado dia 7 de junho, quando se descobriu a existência de uma botnet, denominado de GoldBrute, que tem vindo a realizar ataques de force bruteao RDP a mais de milhão e meio de servidores de diferentes partes do mundo.

Aviso da Microsoft e NSA

A Microsoft publicou no passado dia 30 de maio um novo comunicado a recordar a importância de utilizadores e empresas atualizarem os seus sistemas operativos, e refere que após a publicação de um relatório que aconteceu duas semanas depois de lançado o patch, afirmou que existe ainda cerca de um milhão de equipamentos vulneráveis ao BlueKeep.

Tecnicamente falando, “existe uma grande quantidade de possibilidades de exploração deste bug”, explica o investigador da ESET, Daniel Cunha Barbosa. Neste sentido, um hacker que explore o BlueKeep poderá realizar ataques de negação de serviço (DoS) quando não conseguir outra alternativa para comprometer o ambiente alvo de ataque, mas também é possível que hackers aproveitem a CVE-2019-0708 para levar adiante ataques remotos ao código (RCE) que lhe permitam executar a partir de um rasomware, fazendo-se passar por um minerador de moeda ou outra coisa qualquer. Isto acontece porque o bug está no Remote Desktop Service (DRP) e permite a execução remota de código com privilégios de administrador e sem necessidade de interação por parte do utilizador.

A Agência Nacional de Segurança dos Estados Unidos (NSA) no passado dia 4 de junho em comunicado fez um reforço à chamada de atenção da Microsoft dada a importância do assunto e à necessidade extrema de utilizadores e administradores atualizarem os seus sistemas. Uma das principais preocupações da NSA é a possibilidade de exploração do BlueKeep para distribuir ataques de ransomware e exploit kits que incluam outros exploits.

Neste sentido, para além de atualizar os sistemas operativos vulneráveis, que são o Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2l, outras medidas são recomendadas:

Bloquear a porta TCP 3389 da firewall. Esta porta é utilizada no protocolo RDP e bloqueia qualquer tentativa em estabelecer ligação;
Habilitar a autenticação ao nível da rede. Esta medida de segurança requer que hackers necessitem de credenciais válidas para levar adiante a autenticação do código remotamente;
Em terceiro lugar, desabilitar acessos remotos quando não é necessários. Ao fazer isto fica reduzida a exposição a vulnerabilidades de segurança e é uma boa prática, mesmo perante outras ameaças;

A divulgação do BlueKeep atraiu a atenção de muitos investigadores

Imediatamente a seguir ao anúncio do patch por parte da Microsoft, foi possível ver que a comunidade de investigadores em segurança manifestou a sua preocupação através do Twitter dadas as caraterísticas do BlueKeep. De facto, no dia seguinte o fundador da empresa de segurança Zerodium assegurava através do Twitter que o BlueKeep era explorável:

A 18 de maio, o investigador Valthek publicou também no Twitter que tinha desenvolvido um exploit para a CVE-2019-0708 relacionada com a RDP, e acrescentava que era muito perigoso, pelo que não daria detalhes do mesmo.

Com o passar dos dias, vários peritos em segurança manifestaram também o perigoso que pode ser a exploração deste bug e recomendaram, entre outras coisas, cortar o acesso RDP e limitar a uso interno.

Uma semana depois do comunicado da Microsoft, o investigador Marcus Hutchins (que descobriu o kill switch que parou o WannaCry) adiantava que já havia informação suficiente publicada na Internet para que pessoas sem habilitações especiais encontrem uma forma de criar provas de conceito (PoC) que permitam realizar ataques DoS, e que era de esperar que começassem a aparecer. Da mesma forma, acrescentou que PoCs que permitam a execução remota do código (RCE) exigem mais habilitações.

Com o passar das horas e dos dias, distintas PoCs foram aparecendo de forma pública em repositórios como o GitHub. Segundo explica o investigador de segurança da ESET, Daniel Cunha Barbosa, “várias das diferentes PoC para ataques de DoS que foram publicados mostram basicamente o mesmo, apesar de forma diferente, mas o mais preocupante é que apareceram de forma pública exploits para RCE”.

Para além disso, através do Twitter foi dado o alerta para a presença uma versão de código prova de conceito com uma backdoor, que segundo explica o investigador da ESET, “este tipo de PoC são desenvolvidas por criminosos com a intenção de captar a atenção de especialistas da indústria de segurança para que as descarreguem e assim conseguir comprometer os seus equipamentos com a instalação de um backdoor. Desta forma, o hacker e aquele que desenvolve a PoC consegue tomar controlo do equipamento da vítima, que neste caso seria um indivíduo da indústria da segurança”, explicou Barbosa.

Atores maliciosos procuram sistemas vulneráveis

Assim, e como se viu atividade no desenvolvimento de provas de conceito, conforme publicaram alguns meios, na última semana de maio foi ainda detetado que hackers estiveram a fazer uma análise da Internet em busca de sistemas vulneráveis ao BlueKeep. Aparentemente esta atividade está a ser executada por um único ator. Porém, se considerarmos que ainda existe cerca de um milhão de sistemas sem atualizações, o cenário não parece nada encorajador.

Por outro lado, especialistas publicaram ferramentas para fazer a análise das redes com o intuito de encontrar equipamentos vulneráveis ao BlueKeep, o que pode ser de muita utilidade para empresas que desejem realizar auditorias internas. Da mesma forma, soluções de segurança como as que oferecem os produtos ESET também podem ser de grande auxílio na deteção de tentativas de exploração desta vulnerabilidade. Mas o mais importante é que aqueles que ainda não atualizaram os seus sistemas o façam o quanto antes.

2 COMENTÁRIOS

Existem novas informações sobre a exploração da vulnerabilidade BlueKeep - ESET Portugal - blog 2 de Agosto de 2019 at 11:33

[…] das advertências da Microsoft e NSA sobre a gravidade da vulnerabilidade Bluekeep (CVE-2019-0708) e depois que alguns especialistas em segurança começaram a publicar informações […]
Microsoft lança atualizações para vulnerabilidades críticas que afetam o Windows 10 - ESET Portugal - blog 16 de Agosto de 2019 at 10:33

[…] sem necessidade de interação por parte da vítima, e apresentam características semelhantes ao BlueKeep – exemplo disso é o fato de poderem permitir que o malware se propague automaticamente para […]

ARTIGOS RELACIONADOSMAIS DO MESMO AUTOR

Rescoms: ESET descobre nova campanha de malware que visa empresas europeias

Relatório de Ameaças: Portugal regista aumento nas deteções de spyware para Android

ESET revela riscos de comprar smartphones Android baratos

MoustachedBouncer: ESET descobre grupo de ciberespionagem que tem como alvo diplomatas europeus na Bielorrússia

GravityRAT: ESET descobre nova versão do spyware que rouba backups do WhatsApp

2 COMENTÁRIOS

DEIXE UMA RESPOSTA

ARTIGOS RELACIONADOS MAIS DO MESMO AUTOR