As novas informações divulgadas geram uma certa preocupação sobre o risco inerente à possibilidade de hackers lançarem uma nova ameaça. É fundamental que os utilizadores atualizem os seus dispositivos o quanto antes.
Depois das advertências da Microsoft e NSA sobre a gravidade da vulnerabilidade Bluekeep (CVE-2019-0708) e depois que alguns especialistas em segurança começaram a publicar informações sobre o desenvolvimento de provas de conceito (PoC), que demonstravam que era possível explorar a falha (tanto para um ataque de negação de serviço como para conduzir um ataque de execução remota de código (RCE), o investigador de segurança Marcus Hutchins, expressou sua preocupação recentemente, através da sua conta no Twitter, depois de ler uma apresentação (disponível no GitHub) que foi exposta numa conferência e que explica como é possível usar a PoC que causa um “crash” no sistema operativo para executar um ataque RCE.
BlueKeep Warning: someone published a slide deck explaining how to turn the crash PoC into RCE. I expect we’ll likely see widespread exploitation soon.https://t.co/MG2IZfy5B5
— MalwareTech (@MalwareTechBlog) July 22, 2019
Como se isso não fosse suficiente, outro investigador publicou uma análise detalhada do bug dois dias depois no GitHub e incluiu um código deliberadamente incompleto da PoC escrito em Python que afeta computadores que usam o Windows XP.
Things just got worse on the BlueKeep front. The slides in question hinted at how to do the pool spray (probably the hardest part of the exploit), as a result someone published their own research detailing /exactly/ how to do it. 😐 https://t.co/jcHd6F8ffR
— MalwareTech (@MalwareTechBlog) July 23, 2019
No início de julho, o mesmo investigador publicou um vídeo no qual é demonstrado como realizar um ataque RCE através da PoC desenvolvida.
After 14 days of hard work I have RCE with #BlueKeep ! @GossiTheDog @ryHanson @MalwareTechBlog big thanks to @FuzzySec @stephenfewer and @epakskape whose previous work made it all possible. still more work to do! https://t.co/qI0XBh2wMv
— 0xeb_bp (@0xeb_bp) July 4, 2019
Segundo especialistas da ElevenPath, a análise “explica como é possível usar a técnica de heap spraying com o shellcode em dados que são coletados remotamente pelo Network Packet Provider, ou seja, um driver (algo que é difícil)”. Portanto, “gerir a memória nesse nível com o intuito de injetar o shellcode e fazer com que a vulnerabilidade aponte para o código de execução de forma estável, é um feito que tem sido aguardado há alguns meses, desde o surgimento do patch em maio”, acrescentam.
A preocupação é que, com tanta informação técnica com explicações sobre a forma como pode ser explorada a vulnerabilidade, pode ser bastante provável que hackers desenvolvam um exploit para o BlueKeep num curto espaço de tempo, o que faz com que seja ainda mais urgente que os utilizadores atualizem os seus sistemas operativos, explicou o investigador de segurança da ESET, Luis Lubeck.
Além disso, especialistas descobriram uma nova variante de um malware de mineração de criptomoedas conhecido como Watchbog, que possui um módulo para examinar dispositivos em busca de sistemas vulneráveis ao BlueKeep. De acordo com os especialistas da Intezer, que descobriram essa nova variante do Watchbog, o malware provavelmente está a preparar uma lista de dispositivos vulneráveis ao BlueKeep, seja para atacá-los no futuro ou para vender essas informações a terceiros”.
Os utilizadores que usam sistemas operativos como o Windows XP, o Windows Server 2003, o Windows Vista, o Windows Server 2008, o Windows 7 e o Windows Server 2008 R2, devem instalar o patch que a Microsoft lançou para atenuar a falha.
