Embora a Microsoft já tenha lançado um patch que corrige esse bug na última atualização, a empresa destacou que até o momento não identificou nenhuma exploração dessa falha, mas consideram que é bastante provável que cibercriminosos acabem criando algum exploit que se aproveite dessa vulnerabilidade e a incorpore a um malware.
A empresa também explicou em uma publicação que a vulnerabilidade, que recebeu o apelido de "BlueKeep", está em um estágio de pré-autenticação e não requer interação do usuário, o que pode fazer com que qualquer malware se aproveite desse erro para se propagar entre computadores vulneráveis da mesma maneira que o WannaCry fez em 2017.
Na verdade, a Microsoft decidiu lançar um patch para as versões 2003 do Windows, bem como para o XP, o Windows 7 e para as versões do Windows Server 2008 e 2008 R2, sistemas afetados por essa falha.
A vulnerabilidade, registrada como CVE-2019-0708, reside nos Serviços de Área de Trabalho Remota (RDP), também conhecidos como Serviços de Terminal, mas não no próprio protocolo RDP, e permite que um atacante possa executar código de forma remota.
Conforme relatado pelo pesquisador de segurança, Kevin Beaumont, em sua conta no Twitter, depois de realizar uma pesquisa na ferramenta Shodan, existem atualmente cerca de 3 milhões de endpoints RDP diretamente expostos à Internet.
🚨 Very important security update for Windows 🚨 CVE-2018-0708 allows remote, unauthenticated code execution is RDP (Remote Desktop). A very bad thing you should patch against. Around 3 million RDP endpoints are directly exposed to internet. https://t.co/EAdg3VNMjw pic.twitter.com/u2V3uyoyVs
— Kevin Beaumont (@GossiTheDog) 14 de maio de 2019
Para piorar a situação, a vulnerabilidade requer um baixo nível de complexidade para ser explorada, sendo catalogada com uma pontuação de 3,9 de 10 de acordo com o sistema estabelecido pela Microsoft para determinar a complexidade. A título de referência, os desenvolvedores do WannaCryptor tiveram um exploit escrito pela NSA para explorar as falhas CVE-2017-0144 e CVE-2017-0145 cuja complexidade operacional foi avaliada como alta, explica o portal Arstechnica.
Como destacamos no início deste post, no momento não temos conhecimento de qualquer exploração do "BlueeKeep". Em outro tweet publicado pelo especialista em segurança, Kevin Beaumont, até agora nenhuma prova de conceito (PoC) foi detectada publicamente e nenhum sinal de exploração foi identificado como parte de uma campanha, apesar de estarem aparecendo, como forma de fazer piada, falsas PoCs no GitHub.
There are no public PoCs yet, and no sign of exploitation in wild.
Joke PoCs are already appearing on Github. Don’t run random PoCs you find online; they will often be malicious.
— Kevin Beaumont (@GossiTheDog) 14 de maio de 2019
Com a instalação do patch lançado pela Microsoft, os computadores deixaram de estar vulneráveis a essa falha. No entanto, se analisarmos o que aconteceu com o WannaCry (a Microsoft lançou o patch antes do surto), a realidade indica que, apesar do aviso de atualização emitido, muitos computadores com Windows 2003, XP, 7, Server 2008 e Server 2008 R2 não foram atualizados. Um relatório recente publicado pela Forescout revelou que nos Estados Unidos, 71% dos computadores que operam nas grandes instituições médicas do país usarão sistemas operacionais sem o suporte de atualizações a partir do dia 14 de janeiro de 2020. Isso ocorrerá porque a Microsoft anunciou que deixará de lançar atualizações de segurança para o Windows 7 gratuitamente como forma de incentivar os usuários a atualizar para versões mais novas e mais seguras do sistema operacional. E isso nos leva a pensar: a exploração dessa falha crítica descoberta recentemente, que afeta versões antigas do Windows que ainda são amplamente usadas, pode ocorrer após essa data e as consequências serão bastante sérias.