Depois da descoberta da exploração da vulnerabilidade chamada Bluekeep (CVE-2019-0708) no início de novembro, como resultado da existência de uma campanha ativa com o objetivo de minerar criptomoedas, a Microsoft alertou os usuários sobre a importância de atualizar seus computadores contra a possibilidade de que, no futuro, os cibercriminosos usem essa vulnerabilidade para instalar ameaças mais perigosas.
While we currently see only coin miners being dropped, we agree w/ the research community that CVE-2019-0708 (BlueKeep) exploitation can be big. Locate and patch exposed RDP services now. Read our latest blog w/ assist from @GossiTheDog & @MalwareTechBlog https://t.co/y1NgN5WVu8
— Microsoft Security Intelligence (@MsftSecIntel) November 7, 2019
Há seis meses, a empresa relatou a descoberta dessa vulnerabilidade crítica de execução remota de código que afeta os Remote Desktop Services (RDP) no Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. No entanto, ainda há muitos computadores sem o patch.
No início deste mês foi relatada uma campanha que explorou a vulnerabilidade para instalar um minerador de criptomoedas, que estava relacionado com outra campanha detectada em setembro e que fez uso do mesmo implante. De acordo com a equipe de pesquisa da Microsoft Defender, essa recente campanha não foi usada para implantar malware com capacidades de worm, sendo essa uma das razões pelas quais o Bluekeep gera tanta preocupação.
França, Rússia, Itália, Espanha, Ucrânia, Alemanha e Reino Unido, entre outros, foram os países em que se detectou maior atividade dessa última campanha, que fez uso da exploração do Metasploit lançada em setembro, e nos casos em que não gerou um "crasheo" do sistema, observou-se a instalação de um minerador de criptomoedas.
Segundo a Microsoft, os ataques exploraram a falha nos RDP e depois instalaram o minerador. E embora o uso do exploit Metasploit em muitos casos tenha falhado e causado "crashes", é provável que esse seja apenas o começo e que no futuro eles possam ser mais eficazes e consigam se aproveitar do Bluekeep para instalar ameaças mais perigosas.
Sugiremos que os usuários e as empresas permaneçam alerta e protejam os seus sistemas contra o Bluekeep.