Empresas de segurança no mundo inteiro têm evidenciado preocupações com um ataque global através de uma fragilidade denominada “BlueKeep”, no nível do que foram o WannaCry e o NotPetya. As preocupações aumentam à medida que informações sobre o desenvolvimento de exploits para esta vulnerabilidade começam a se tornar públicas.

A Sophos publicou um vídeo mostrando a atuação de uma prova de conceito criada por eles em seus laboratórios (https://vimeo.com/344915265). Outras provas de conceito, ainda em desenvolvimento, foram anunciadas pelas empresas Immunity Canvas, NCC Group e Rapid7. Além destas, também foram anunciadas provas de conceito de código aberto em plataformas como o GitHub.

A Agência de Segurança de Infraestrutura e Cibernética (CISA) emitiu um alerta com informações sobre uma vulnerabilidade presente nos sistemas operacionais Microsoft Windows, incluindo versões de 32 e 64 bits, bem como todas as versões do Service Pack.

Detalhes Técnicos

O BlueKeep (CVE-2019-0708) é uma vulnerabilidade de execução remota de código nos Serviços de Área de Trabalho Remota (Remote Desktop Services), anteriormente conhecidos como Serviços de Terminal (Terminal Services), que ocorre quando um invasor não autenticado conecta-se ao sistema de destino usando o RDP (Remote Desktop Protocol) e envia solicitações especialmente criadas para esta finalidade.

A exploração desta falha não requer autenticação e a interação do usuário. Um invasor que explorar com êxito este problema obterá privilégios de SISTEMA (NT AUTHORITY\SYSTEM), sendo capaz de executar código arbitrário no sistema de destino, instalar programas, visualizar arquivos, alterar ou excluir dados ou até mesmo criar novas contas com privilégios administrativos.

Para explorar esta vulnerabilidade, um invasor precisaria enviar uma solicitação maliciosa para o Serviço de Área de Trabalho Remota via RDP, usado pelos sistemas operacionais Microsoft Windows listados anteriormente. Essa exploração, que não requer interação do usuário, deve ocorrer antes da autenticação para ser bem-sucedida.

O BlueKeep é considerado uma vulnerabilidade com potencial para utilização por “worms”, porque o ataque a esta vulnerabilidade pode ser automatizado. Isso permitiria sua propagação para outros sistemas vulneráveis, de modo similar à falha implementada no “exploit EternalBlue”, empregado pelos malwares WannaCry e NotPetya. Sendo assim, uma ferramenta que se aproveite do BlueKeep seria capaz de espalhar-se rapidamente, de modo semelhante aos grandes ataques de Ransomware de 2017.

Como mitigar

O CISA incentiva os usuários e administradores de sistemas a revisarem o comunicado de segurança da Microsoft e aplicar medidas de mitigações cabíveis com a maior brevidade possível, mesmo se você optar por deixar os Serviços de Área de Trabalho Remota desativados:

Para maiores detalhes

O Internet Storm Center do SANS publicou capturas de rede contendo a utilização de exploits:

https://isc.sans.edu/forums/diary/An+Update+on+the+Microsoft+Windows+RDP+Bluekeep+Vulnerability+CVE20190708+now+with+pcaps/24960/

Uma análise técnica da falha utilizando a ferramenta de engenharia reversa Radare2 foi publicada no GitHub:

https://github.com/0xeb-bp/bluekeep/blob/master/0xeb_bp_BlueKeep_Technical_Analysis.pdf

Uma análise com base na correção liberada pela Microsoft foi publicada no blog MalwareTech:

https://www.malwaretech.com/2019/05/analysis-of-cve-2019-0708-bluekeep.html

Fontes de referência

https://www.us-cert.gov/ncas/alerts/AA19-168A

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0708

https://www.trendmicro.com/vinfo/hk-en/security/news/vulnerabilities-and-exploits/nearly-1-million-systems-affected-by-wormable-bluekeep-vulnerability-cve-2019-0708

Quer conhecer melhor sobre o assunto ou deseja receber consultoria especializada?

Fale com nossos especialistas https://www.3elos.com.br/info.php