Luego de lo que fueron las advertencias emitidas por parte de Microsoft y la NSA acerca de la severidad de la vulnerabilidad Bluekeep (CVE-2019-0708) y que especialistas en seguridad comenzaran a publicar que se habían desarrollado pruebas de concepto (PoC) que demostraban que era posible explotar el fallo (tanto para un ataque de denegación de servicio como para realizar un ataque de ejecución remota de código (RCE), el investigador de seguridad, Marcus Hutchins, manifestó su preocupación esta semana a través de su cuenta de twitter luego de leer una presentación (disponible de manera pública en GitHub) que se expuso en una conferencia y en la que se explica cómo es posible utilizar la PoC que provoca un “crash” en el sistema operativo para realizar ataque de RCE.
BlueKeep Warning: someone published a slide deck explaining how to turn the crash PoC into RCE. I expect we'll likely see widespread exploitation soon.https://t.co/MG2IZfy5B5
— MalwareTech (@MalwareTechBlog) July 22, 2019
Por si fuera poco, otro investigador publicó dos días después en GitHub un análisis detallado del fallo e incluyó un código deliberadamente incompleto de la PoC escrita en Python que afecta a equipos que utilicen Windows XP.
Things just got worse on the BlueKeep front. The slides in question hinted at how to do the pool spray (probably the hardest part of the exploit), as a result someone published their own research detailing /exactly/ how to do it. 😐 https://t.co/jcHd6F8ffR
— MalwareTech (@MalwareTechBlog) July 23, 2019
Días atrás, el mismo investigador había publicado un video en el que muestra cómo logra realizar RCE con la PoC que desarrolló.
After 14 days of hard work I have RCE with #BlueKeep ! @GossiTheDog @ryHanson @MalwareTechBlog big thanks to @FuzzySec @stephenfewer and @epakskape whose previous work made it all possible. still more work to do! https://t.co/qI0XBh2wMv
— 0xeb_bp (@0xeb_bp) July 4, 2019
Según especialistas de ElevenPath, el análisis “explica cómo es posible utilizar la técnica de heap spraying con el shellcode en datos que vienen en remoto recogidos por el Network Packet Provider, o sea, un driver (cosa que sí es difícil)”, explican. En este sentido, “gestionar la memoria a ese nivel para inyectar el shellcode y conseguir que la vulnerabilidad apunte al código para la ejecución de forma estable, es una proeza que se ha estado esperando unos meses, desde la aparición del parche en mayo” agregan.
La preocupación es que con tanta información técnica de manera pública explicando cómo explotar la vulnerabilidad, es altamente probable que actores malintencionados desarrollen un exploit para BlueKeep en un corto período de tiempo, lo que hace que sea más urgente que los usuarios actualicen sus sistemas operativos, explicó el investigador de seguridad de ESET Latinoamérica, Luis Lubeck.
A esto se suma que recientemente se descubrió una nueva variante de un malware para minar criptomonedas conocido como Watchbog, que cuenta con un módulo para escanear equipos en busca de sistemas vulnerables a BlueKeep. Según los especialistas de Intezer, que fue quienes descubrieron esta nueva variante de Watchbog, probablemente el malware esté preparando el armado de una lista de equipos vulnerables a BlueKeep, ya sea para atacarlos en el futuro o para vender esta información a terceros”.
Aquellos que utilizan sistemas como Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2, deben instalar el parche que lanzó Microsoft para mitigar el fallo.
