Um novo pacote de atualizações lançado pela Microsoft corrige uma série de vulnerabilidades no serviço remoto de desktop, semelhante ao BlueKeep, que permite a execução de código remoto no Windows.
A Microsoft lançou um novo pacote de atualizações de segurança para o mês de agosto que corrige 93 vulnerabilidades, incluindo quatro (CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 e CVE-2019-1226) que estão presentes no serviço de desktop remoto do Windows e permitem a execução remota de código (RCE).
A empresa recomenda a instalação das últimas atualizações o quanto antes. Pois dada a natureza destas quatro falhas, as mesmas podem ser exploradas remotamente sem necessidade de interação por parte da vítima, e apresentam características semelhantes ao BlueKeep – exemplo disso é o fato de poderem permitir que o malware se propague automaticamente para outros computadores vulneráveis sem necessidade de interação por parte da vítima, semelhante à forma como o ransomware WannaCry se propagou em 2017, causando diversos problemas.
Para explorar as duas primeiras falhas – que permitem a execução de código arbitrário – um hacker não autenticado só precisa de enviar uma requisição especialmente projetada para o sistema-alvo via RDP. Uma vez que consiga explorar a falha, pode então executar código no computador comprometido e instalar programas, visualizar e/ou modificar informações, e até mesmo criar novas contas com altos níveis de permissões.
Duas dessas vulnerabilidades (CVE-2019-1181 e CVE-2019-1182) afetam todas as versões do Windows 10, além das versões server 2019, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1 e Windows Server 2012 R2. Já as vulnerabilidades CVE-2019-1222 e CVE-2019-1226 afetam apenas as edições do Windows 10 e Windows Server.
Segundo a explicação do diretor de Resposta a Incidentes da Microsoft, Simon Pope, num post, no caso das duas primeiras vulnerabilidades, “até agora não há nenhuma evidência de que essas falhas tenham sido descobertas anteriormente por terceiros”.
Por outro lado, “os sistemas que contam com a autenticação em nível de rede (NLA) habilitada terão parcialmente mitigado a possibilidade de serem afetados por uma ameaça avançada ou com características de worm que explore a vulnerabilidade, porque para isso, a ativação do NLA requer autenticação”, destacou Pope. No entanto, os sistemas afetados que não instalaram o último patch continuarão vulneráveis à exploração do RCE se um atacante obtiver as credenciais que lhe permitem realizar a autenticação”, acrescentou ele.
É necessário ter em conta que logo após a Microsoft ter emitido o seu primeiro comunicado em maio deste ano alertando sobre a descoberta do BlueKeep e a importância de atualizar os sistemas para evitar um possível surto semelhante ao WannaCry, muitas informações relacionadas com a exploração do BlueKeep começaram a tornar-se públicas e, para além disso, foram divulgadas várias provas de conceito (PoCs) que demonstravam a possibilidade de explorar a vulnerabilidade. Como se isso não bastasse, apesar das duas comunicações que a Microsoft finalmente emitiu, e além do alerta lançada pela NSA pedindo a instalação do patch que corrige a falha, duas semanas depois de ter sido lançado, o número de computadores que ainda estavam vulneráveis ao BlueKeep ainda chegava perto de um milhão, o que mostra a lentidão do processo de instalação das atualizações.
