Já faz mais de três semanas que a Microsoft divulgou um comunicado pedindo que os usuários atualizem seus sistemas operacionais para detectar uma vulnerabilidade crítica identificada como CVE-2019-0708, que, segundo a própria empresa, é perigosa porque, se explorada, poderia permitir que uma ameaça se propague para outros computadores vulneráveis (característica de worms) semelhante à maneira como o famoso ransomware WannaCry se propagou em 2017. Com o passar das semanas, a comunidade de pesquisadores e especialistas no campo da segurança mostraram grande interesse pela evolução dessa vulnerabilidade, chamada de BlueKeep, revelando informações que permitem entender a magnitude e as características dessa falha. Uma das últimas novidades sobre o BlueKeep foi divulgado no dia 07 de junho deste ano, quando se descobriu a existência de uma botnet, chamada GoldBrute, que vem realizando ataques de força bruta ao RDP de mais de um milhão e meio de servidores em todo o mundo.
Aviso da Microsoft e da NSA
A Microsoft publicou na quinta-feira (30/05) um novo comunicado recordando a importância de que os usuários e as empresas atualizem seus sistemas operacionais; especialmente depois da publicação de um relatório duas semanas após o lançamento do patch, afirmando que ainda há cerca de um milhão de dispositivos vulneráveis ao BlueKeep.
Para entender um pouco mais sobre a parte técnica, "há muitas possibilidades de explorar essa falha", explica o pesquisador da ESET, Daniel Cunha Barbosa. Nesse sentido, um atacante que explore o BlueKeep pode realizar ataques de negação de serviço (DoS) quando não obtiver outra alternativa para comprometer o ambiente de um alvo de ataque, mas também é possível que os atacantes aproveitem a CVE-2019-0708 para realizar ataques de execução remota de código (RCE) que permitem executar desde um ransomware, passando por um coinminer ou o que você quiser. Isso ocorre porque a falha está no Remote Desktop Service (RDP) e permite a execução remota de código com privilégios de administrador e sem a necessidade de interação do usuário.
Conforme foi publicado pela Agência de Segurança Nacional dos Estados Unidos (NSA) no último dia 4 de junho, em um comunicado que visa reforçar o apelo da Microsoft sobre a atenção para a importância de usuários e administradores atualizarem seus sistemas, uma das principais preocupações da NSA é a exploração do BlueKeep com o objetivo de distribuir ataques de ransomware e explorar os kits contidos em outros exploits.
Portanto, além de atualizar os sistemas operacionais vulneráveis, que são o Windows XP, o Windows Server 2003, o Windows Vista, o Windows Server 2008, o Windows 7 e o Windows Server 2008 R2, outras medidas recomendadas são:
- Bloquear a porta TCP 3389 do firewall, especialmente qualquer firewall de perímetro exposto à Internet. Essa porta é usada no protocolo RDP e bloqueia qualquer tentativa de estabelecer uma conexão.
- Ativar a autenticação no nível da rede. Essa medida de segurança exige que os atacantes precisem de credenciais válidas para realizar a autenticação de código remota.
- Desabilitar os serviços de área de trabalho (Desktop Service) remotos quando não forem necessários. Isso reduz a exposição a vulnerabilidades de segurança e é uma boa prática mesmo para outras possíveis ameaças.
A divulgação do BlueKeep atraiu a atenção de muitos pesquisadores
Imediatamente após a Microsoft anunciar o lançamento do patch, foi possível ver como a comunidade de pesquisadores de segurança expressou sua preocupação, através do Twitter, pelas características do BlueKeep. Na verdade, no dia seguinte, o fundador da empresa de segurança Zerodium assegurou via twitter que o BlueKeep era explorável:
We've confirmed exploitability of Windows Pre-Auth RDP bug (CVE-2019-0708) patched yesterday by Microsoft. Exploit works remotely, without authentication, and provides SYSTEM privileges on Windows Srv 2008, Win 7, Win 2003, XP. Enabling NLA mitigates the bug. Patch now or GFY!
— Chaouki Bekrar (@cBekrar) 15 de mayo de 2019
Em 18 de maio, o pesquisador Valthek publicou no Twitter que havia desenvolvido um exploit para a CVE-2019-0708 relacionada ao RDP e acrescentou que era muito perigoso, por isso não daria detalhes sobre o mesmo.
I get the CVE-2019-0708 exploit working with my own programmed POC (a very real dangerous POC).This exploit is very dangerous. For this reason i don´t will said TO ANYBODY OR ANY ENTERPRISE nothing about it. You are free of believe me or not,i dont care.https://t.co/o7wwEazgK0
— Valthek (@ValthekOn) 18 de mayo de 2019
Com o passar dos dias, vários especialistas em segurança destaram os riscos da exploração desse bug e recomendou, entre outras coisas, cortar o acesso ao RDP e limitar seu uso interno.
Uma semana depois da declaração da Microsoft, o pesquisador Marcus Hutchins (quem descobriu o kill switch que deteve o WannaCry) disse que havia informação suficiente publicada na Internet para que pessoas sem habilidades especiais pudessem encontrar uma forma de criar uma prova de conceito (PoC) que permitisse realizar ataques DoS e que se espera que, em breve, começariam a aparecer. Ele também acrescentou que as PoCs que permitem execução remota de código (RCE) requerem mais habilidades.
There's enough public info around twitter for people with average RE / VR skills to eventually figure out how to get DoS. Would probably expect a DoS PoC soonish (maybe this week), but RCE takes some more skill.
— MalwareTech (@MalwareTechBlog) 21 de mayo de 2019
Com o passar das horas e dos dias, diferentes PoCs estavam aparecendo publicamente em repositórios como o GitHub. Como explicou o pesquisador de segurança da ESET, Daniel Cunha Barbosa, "várias das diferentes PoCs para ataques DoS que foram publicadas mostram basicamente a mesma coisa, embora de uma maneira diferente, mas o mais preocupante é que apareceram de forma pública exploits para RCE."
Além disso, os usuário já foram alertados através do Twitter sobre a presença de provas de conceito backdooreadas, que de acordo com a explicação do pesquisador da ESET, "esse tipo de PoCs são desenvolvidas por criminosos com a intenção de atrair a atenção de especialistas da indústria de segurança para que as baixem e, dessa forma, consigam comprometer seus dispositivos com a instalação de um backdoor. Desta forma, o atacante e desenvolvedor da PoC consegue assumir o controle do equipamento da vítima, que neste caso seria uma pessoa do setor de segurança", explicou Barbosa.
Agentes mal-intencionados procuram sistemas vulneráveis
Assim como é possível ver atividade no desenvolvimento de provas de conceito, de acordo com alguns meios de comunicação, chegando na última semana de maio, foi detectado que os agentes maliciosos têm varrido a Internet em busca de sistemas vulneráveis ao BlueeKeep; aparentemente essa atividade está sendo executada por um único agente. No entanto, se levarmos em conta que ainda existem cerca de um milhão de sistemas sem atualização, o cenário não parece muito animador.
Por outro lado, especialistas publicaram ferramentas para varrer redes que procuram dispositivos vulneráveis ao BlueKeep, algo que pode ser útil para empresas que desejam realizar auditorias internas. Além disso, soluções de segurança como as oferecidas pelos produtos da ESET também detectam tentativas de explorar essa vulnerabilidade, explicou o responsável pelo Laboratório da ESET na América Latina, Camilo Gutiérrez.
O mais importante é que os usuários atualizem seus sistemas operacionais o mais rápido possível. :)