Após as advertências da Microsoft e NSA sobre a gravidade da vulnerabilidade Bluekeep (CVE-2019-0708) e depois que alguns especialistas em segurança começaram a publicar informações sobre o desenvolvimento de provas de conceito (PoC), que demonstravam que era possível explorar a falha (tanto para um ataque de negação de serviço quanto para conduzir um ataque de execução remota de código (RCE), o pesquisador de segurança Marcus Hutchins, expressou sua preocupação esta semana, através de sua conta no Twitter, após ler uma apresentação (publicamente disponível no GitHub) que foi exposta em uma conferência e que explica como é possível usar a PoC que causa um “crash” no sistema operacional para executar um ataque RCE.
BlueKeep Warning: someone published a slide deck explaining how to turn the crash PoC into RCE. I expect we'll likely see widespread exploitation soon.https://t.co/MG2IZfy5B5
— MalwareTech (@MalwareTechBlog) July 22, 2019
Como se isso não fosse suficiente, outro pesquisador publicou uma análise detalhada do bug dois dias depois no GitHub e incluiu um código deliberadamente incompleto da PoC escrito em Python que afeta computadores que usam o Windows XP.
Things just got worse on the BlueKeep front. The slides in question hinted at how to do the pool spray (probably the hardest part of the exploit), as a result someone published their own research detailing /exactly/ how to do it. 😐 https://t.co/jcHd6F8ffR
— MalwareTech (@MalwareTechBlog) July 23, 2019
Dias atrás, o mesmo pesquisador publicou um vídeo no qual ele mostra como realizar um ataque RCE através da PoC desenvolvida.
After 14 days of hard work I have RCE with #BlueKeep ! @GossiTheDog @ryHanson @MalwareTechBlog big thanks to @FuzzySec @stephenfewer and @epakskape whose previous work made it all possible. still more work to do! https://t.co/qI0XBh2wMv
— 0xeb_bp (@0xeb_bp) July 4, 2019
Segundo especialistas da ElevenPath, a análise “explica como é possível usar a técnica de heap spraying com o shellcode em dados que são coletados remotamente pelo Network Packet Provider, ou seja, um driver (algo que é difícil)”, explicam. Portanto, "gerenciar a memória nesse nível com o intuito de injetar o shellcode e fazer com que a vulnerabilidade aponte para o código para a execução de forma estável, é um feito que tem sido aguardado há alguns meses, desde o surgimento do patch em maio", acrescentam.
A preocupação é que, com tanta informação técnica explicando publicamente como explorar a vulnerabilidade, pode ser bastante provável que os cibercriminosos desenvolvam um exploit para o BlueKeep em um curto período de tempo, o que faz com que seja ainda mais urgente que os usuários atualizem seus sistemas operacionais, explicou o pesquisador de segurança da ESET, Luis Lubeck.
Além disso, especialistas descobriram uma nova variante de um malware de mineração de criptomoedas conhecido como Watchbog, que possui um módulo para examinar dispositivos em busca de sistemas vulneráveis a BlueKeep. De acordo com os especialistas da Intezer, que descobriram essa nova variante do Watchbog, o malware provavelmente está preparando uma lista de dispositivos vulneráveis a BlueKeep, seja para atacá-los no futuro ou para vender essas informações a terceiros”.
Os usuários que usam sistemas operacionais como o Windows XP, o Windows Server 2003, o Windows Vista, o Windows Server 2008, o Windows 7 eo Windows Server 2008 R2, devem instalar o patch que a Microsoft lançou para atenuar a falha.