Vulnerabilidade do Windows BlueKeep: Você já viu esse filme

Vulnerabilidade BlueKeep, no RDP, pode se tornar um malware controlado remotamente que pode afetar milhões de pessoas em todo o mundo
Emilia Bertolli
3 minuto de leitura
Ultima atualização 29 de Junho de 2021

É uma história familiar de segurança de dados: software Windows com patches insuficientes, vulnerabilidades de segurança ocultas e hackers que sabem como explorar essas falhas. Mas, se  o patche envolver o protocolo RDP (Remote Desk Protocol) do Windows, como ocorreu com a vulnerabilidade BlueKeep descoberta recentemente, você acha que as empresas teriam aprendido o primeiro mandamento da infosec: não expor o RDP na internet pública?

Mesmo uma rápida pesquisa no Google sobre “vulnerabilidade RDP” revela que diversas falhas significativas foram encontradas nos últimos anos.

Entre o BlueKeep e o EternalBlue

Em maio, a Microsoft divulgou uma nova vulnerabilidade (CVE-2019-0708) no RDP e informou as empresas a corrigi-lo o mais rapidamente possível. Apelidado de BlueKeep, essa falha do RDP deixou a empresa preocupada o suficiente para emitir um segundo aviso.

O que deixou a Microsoft preocupada?

Essa  vulnerabilidade mais recente do RDP pode permitir que hackers executem o código remotamente no nível do sistema sem precisar autenticar. Em outras palavras, qualquer sistema Windows (do XP ao Windows 7) com uma porta RDP exposta é alvo em potencial.

Para tornar as coisas ainda mais complicadas, os hackers agora têm à sua disposição o EternaBlue, que pode transformar uma exploração BlueKeep em um vírus flexível que liberaria o ransonware em escala global, semelhante ao NotPetya!

Risco em potencial

O BlueKeep também chamou a atenção do Departamento de Segurança Doméstica (DHS) dos Estados Unidos, que emitiu seu próprio alerta há poucos dias. Isso, logo após os esforços bem-sucedidos do DHS em elaborar e testar uma prova e conceito (PoC) para uma exploração.

Tenha em mente que são necessários recursos técnicos significativos – muito além do que um hacker típico pode ter – para passar de uma falha de segurança para um código malicioso que se aproveite da brecha.

Para tornar as coisas ainda mais confusas, existem falsos BlueKeep PoCs soltos pela internet. Apesar disso, é preciso levar muito a sério o potencial de danos. Até mesmo a NSA afirma que “é provável que seja apenas uma questão de tempo até que o código de exploração remota esteja amplamente disponível para essa vulnerabilidade”.

Mudando um pouco de assunto. Para aqueles que querem brincar de analistas de segurança e definir o potencial de riscos das vulnerabilidades de RDP, familiarize-se com o Shodan, conhecido como o Google dos hackers.

O Shodan verifica a internet em busca de hosts, roteadores, gadgets, coleta informações públicas, vindas de análise de banners e cabeçalhos HTML, mantendo silêncio sobre todas as fontes.

De qualquer forma, basta digitar o IP no Shodan para saber se há alguma porta aberta no seu servidor. Mas o Shodan vai além do exame de empresas específicas e permite que se agregue metadados de segurança.

São milhões de portas vulneráveis, a mair parte dessas portas RDO são encontradas na nuvem (Amazon AWS, Microsoft Azure e Google Cloud). E esses serviços podem ser uma fonte rica de vítimas do Blue Keep.

Mas, além do patch, outros fatores estão envolvidos, incluindo a possibilidade real de que muitas portas RDPs publicamente disponíveis possam não ter um serviço RDP do outro lado – a porta só existe para estar aberta.

Mergulhando na vulnerabilidade BlueKeep

Como pesquisadores de segurança sabem, uma vulnerabilidade nem sempre se traduz em uma exploração. Não é fácil escrever um código, especialmente para uma exploração de RCE ou execução remota de código.

Eles aprenderam que a  versão não corrigida do RDP permite que se tenha acesso a um pedaço da memória do kernel e, em seguida, realize um RCE ou, no mínimo, se quebre o sistema de destino em um ataque do estilo DoS.

Apesar disso, não há um PoC divulgado publicamente, embora haja falsificações. Como mencionei, temos reclamações, entre outros, do DHS e da NSA, de código de exploração real, por isso temos que assumir que hackers mais inteligentes desenvolverão seu próprio código.

Um resumo do que sabemos sobre o CVE-2019-0708 até agora

Sistemas afetados

  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 SR2
  • Windows Server 2003 SR2
  • Windows Vista
  • Windows XP

Potencial de exploração: RCE (Execução Remota de Código) e potencial de worm sem o patch EternalBlue

Número de vítimas em potencial: mais de 1 milhão

Se você está em modo de pânico por estar ouvindo isso pela primeira vez, uma forma de atenuar o problema é desativas a porta 3389 nos firewalls corporativos, instalar os patches de segurança e reativar a porta. Uma outra abordagem é habilitar a autenticação em nível de rede.

O que a Varonis pode fazer por você

Uma abordagem inteligente é ter um modelo de ameaça que possa detectar o ransoware. Se os hackers sempre encontram um meio de entrar, então é preciso uma defesa de backup para identificar e interromper seu objetivo real e travar seus arquivos. Embora seja ótimo saber sobre o malware inspirado na NSA, a Varonis tem uma solução que impede que o próximo ataque derrube seus sistemas. Saiba mais.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

proteja-sua-rede-das-novas-vulnerabilidades-meltdownprime-e-spectreprime
Proteja sua rede das novas vulnerabilidades MeltdownPrime e SpectrePrime
Saiba como as novas vulnerabilidades MeltdownPrime e SpectrePrime podem afetar os dispositivos e proteja os dados corporativos dos malwares
de-onde-vêm-as-vulnerabilidades-de-segurança
De onde vêm as vulnerabilidades de segurança
A quantidade de vulnerabilidades de segurança só aumenta e em um curto período de tempo. Saiba de onde vêm as vulnerabilidades e como se proteger.
fique-atento-aos-novos-ataques-usando-o-malware-mirai
Fique atento aos novos ataques usando o malware Mirai
O malware Mirai já está ganhando novas variantes que estão explorando novas vulnerabilidades de dispositivos conectados. Saiba mais no artigo.
the-logging-dead:-duas-vulnerabilidades-de-log-de-eventos-que-assombram-o-windows
The Logging Dead: Duas vulnerabilidades de log de eventos que assombram o Windows
Você não precisa usar o Internet Explorer para que seu legado tenha deixado você vulnerável ao LogCrusher e OverLog, duas vulnerabilidades do Windows descobertas pela equipe do Varonis Threat Labs.