Nova brecha afeta os sistemas operacionais Windows XP, Windows 7, Windows Server 2003 e 2008
Uma nova vulnerabilidade que afeta os sistemas operacionais Windows XP, Windows 7, Windows Server 2003 e 2008 foi constatada. Batizada de BlueKeep (CVE-2019-0708), trata-se de uma vulnerabilidade na execução remota de código do serviço RDS (Windows Remote Desktop Services).
A Microsoft já havia detectado o BlueKeep em maio. Ele permite que um invasor não autenticado execute código arbitrário enviando solicitações de Protocolo de Área de Trabalho Remota (RDP) especialmente criadas. A empresa alerta que a vulnerabilidade pode permitir que um malware se espalhe de maneira semelhante à usada pelo ransomware WannaCry em 2017.
A Microsoft diz que advertiu os usuários em várias ocasiões para que instalassem o patch de correção. O patch foi disponibilizado para versões não suportadas do Windows, incluindo XP, mas mais de 700 mil sistemas ainda são vulneráveis a ataques.
A comunidade de segurança cibernética espera a ocorrência de ataques desde o início da primeira exploração de prova de conceito (PoC). Embora o BlueKeep possa ter sido explorado por um longo tempo em ataques direcionados que não foram detectados ou divulgados ao público, um pesquisador relatou no fim de semana que viu as primeiras tentativas de exploração em massa.
O pesquisador Kevin Beaumont, que batizou a vulnerabilidade de BlueKeep, está operando uma rede mundial de honeypot, chamada BluePot, que simula as falhas de segurança e tenta colher informações sobre o invasor.
Os ataques parecem ter começado em 23 de outubro, quando os honeypots de Beaumont começaram a falhar e a reiniciar, mas ele só percebeu que era devido às tentativas de exploração do BlueKeep no dia 2 de novembro. Ele analisou os ataques com a ajuda do pesquisador britânico Marcus Hutchins, também conhecido como MalwareTech, e determinou que os indivíduos por trás dessa campanha estavam usando um módulo BlueKeep Metasploit lançado no início de setembro.
Os especialistas verificaram que os atacantes estão explorando o BlueKeep para minerar a criptomoeda de código aberto Monero. A amostra de malware analisada pelos pesquisadores é atualmente detectada por 31 mecanismos antivírus no VirusTotal. Eles dizem que os hackers não parecem ter tentado criar um worm que se espalha dentro de uma rede. “Até agora, o conteúdo do BlueKeep parece um pouco ruim. Embora os mineradores de moedas não sejam exatamente uma grande ameaça, no entanto, é bom ficar atento porque as pessoas agora entendem como executar ataques a alvos aleatórios e estão começando a fazê-lo. Essa atividade não me preocupa, mas faz com que eu anteveja que isso vai piorar mais tarde”, escreveu Beaumont em um post em seu blog.
