Vulnerabilidade do Windows BlueKeep: Você já viu esse filme

Hackers

É uma história familiar de segurança de dados: software Windows com patches insuficientes, vulnerabilidades de segurança ocultas e hackers que sabem como explorar essas falhas. Mas, se  o patche envolver o protocolo RDP (Remote Desk Protocol) do Windows, como ocorreu com a vulnerabilidade BlueKeep descoberta recentemente, você acha que as empresas teriam aprendido o primeiro mandamento da infosec: não expor o RDP na internet pública?

Mesmo uma rápida pesquisa no Google sobre “vulnerabilidade RDP” revela que diversas falhas significativas foram encontradas nos últimos anos.

Entre o BlueKeep e o EternalBlue

Em maio, a Microsoft divulgou uma nova vulnerabilidade (CVE-2019-0708) no RDP e informou as empresas a corrigi-lo o mais rapidamente possível. Apelidado de BlueKeep, essa falha do RDP deixou a empresa preocupada o suficiente para emitir um segundo aviso.

O que deixou a Microsoft preocupada?

Essa  vulnerabilidade mais recente do RDP pode permitir que hackers executem o código remotamente no nível do sistema sem precisar autenticar. Em outras palavras, qualquer sistema Windows (do XP ao Windows 7) com uma porta RDP exposta é alvo em potencial.

Para tornar as coisas ainda mais complicadas, os hackers agora têm à sua disposição o EternaBlue, que pode transformar uma exploração BlueKeep em um vírus flexível que liberaria o ransonware em escala global, semelhante ao NotPetya!

Risco em potencial

O BlueKeep também chamou a atenção do Departamento de Segurança Doméstica (DHS) dos Estados Unidos, que emitiu seu próprio alerta há poucos dias. Isso, logo após os esforços bem-sucedidos do DHS em elaborar e testar uma prova e conceito (PoC) para uma exploração.

Tenha em mente que são necessários recursos técnicos significativos – muito além do que um hacker típico pode ter – para passar de uma falha de segurança para um código malicioso que se aproveite da brecha.

Para tornar as coisas ainda mais confusas, existem falsos BlueKeep PoCs soltos pela internet. Apesar disso, é preciso levar muito a sério o potencial de danos. Até mesmo a NSA afirma que “é provável que seja apenas uma questão de tempo até que o código de exploração remota esteja amplamente disponível para essa vulnerabilidade”.

Mudando um pouco de assunto. Para aqueles que querem brincar de analistas de segurança e definir o potencial de riscos das vulnerabilidades de RDP, familiarize-se com o Shodan, conhecido como o Google dos hackers.

O Shodan verifica a internet em busca de hosts, roteadores, gadgets, coleta informações públicas, vindas de análise de banners e cabeçalhos HTML, mantendo silêncio sobre todas as fontes.

De qualquer forma, basta digitar o IP no Shodan para saber se há alguma porta aberta no seu servidor. Mas o Shodan vai além do exame de empresas específicas e permite que se agregue metadados de segurança.

São milhões de portas vulneráveis, a mair parte dessas portas RDO são encontradas na nuvem (Amazon AWS, Microsoft Azure e Google Cloud). E esses serviços podem ser uma fonte rica de vítimas do Blue Keep.

Mas, além do patch, outros fatores estão envolvidos, incluindo a possibilidade real de que muitas portas RDPs publicamente disponíveis possam não ter um serviço RDP do outro lado – a porta só existe para estar aberta.

Mergulhando na vulnerabilidade BlueKeep

Como pesquisadores de segurança sabem, uma vulnerabilidade nem sempre se traduz em uma exploração. Não é fácil escrever um código, especialmente para uma exploração de RCE ou execução remota de código.

Eles aprenderam que a  versão não corrigida do RDP permite que se tenha acesso a um pedaço da memória do kernel e, em seguida, realize um RCE ou, no mínimo, se quebre o sistema de destino em um ataque do estilo DoS.

Apesar disso, não há um PoC divulgado publicamente, embora haja falsificações. Como mencionei, temos reclamações, entre outros, do DHS e da NSA, de código de exploração real, por isso temos que assumir que hackers mais inteligentes desenvolverão seu próprio código.

Um resumo do que sabemos sobre o CVE-2019-0708 até agora

Sistemas afetados

  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 SR2
  • Windows Server 2003 SR2
  • Windows Vista
  • Windows XP

Potencial de exploração: RCE (Execução Remota de Código) e potencial de worm sem o patch EternalBlue

Número de vítimas em potencial: mais de 1 milhão

Se você está em modo de pânico por estar ouvindo isso pela primeira vez, uma forma de atenuar o problema é desativas a porta 3389 nos firewalls corporativos, instalar os patches de segurança e reativar a porta. Uma outra abordagem é habilitar a autenticação em nível de rede.

O que a Varonis pode fazer por você

Uma abordagem inteligente é ter um modelo de ameaça que possa detectar o ransoware. Se os hackers sempre encontram um meio de entrar, então é preciso uma defesa de backup para identificar e interromper seu objetivo real e travar seus arquivos. Embora seja ótimo saber sobre o malware inspirado na NSA, a Varonis tem uma solução que impede que o próximo ataque derrube seus sistemas. Saiba mais.