Os especialistas por trás do framework open-source Metasploit criaram um exploit para a já debatida vulnerabilidade BlueKeep (CVE-2019-0708), um problema crítico que afeta o Windows Remote Desktop Protocol (RDP) em versões mais antigas do OS da Microsoft. A empresa já alertou sobre o potencial para uso de worms no BlueKeep, chegando a compará-lo com o EternalBlue, que permitiu a epidemia de WannaCry em 2017. O BlueKeep também permite execução remota de código, o que significa que o invasor poderia rodar códigos irrestritamente em um sistema desprotegido, e até assumir o controle total do ambiente.
Explorando o BlueKeep
Já houve outros casos de provas de conceito bem-sucedidas de explorações do BlueKeep, em geral versões menos agressivas ou privadas. O Metasploit é um projeto que pertence ao Rapid7, o qual compartilha informações sobre exploits e ajuda em testes de penetração (pen tests), e publicou seu próprio módulo de exploit voltado para essa vulnerabilidade. O módulo está disponível publicamente e pode permitir execução remota, mas tem limitações. Ele foi criado para afetar apenas as versões de 64 bits do Windows 7 e Server 2008 R2, e também não suporta seleção automática de alvo.
O usuário deste módulo do Metasploit precisa inserir manualmente as especificações sobre o sistema que ele quer invadir. Se o alvo for designado incorretamente, ele vai travar em tela azul. Isso limita a capacidade de infecção do exploit, dada sua falta de automação que impede sua capacidade de autodifusão; por outro lado, funciona bem para ataques direcionados. Atacantes podem usar a informação do Metasploit para melhorar suas ferramentas que se baseiam no BlueKeep.
Em uma nota enviada ao Bleeping Computer, o gerente sênior de engenharia do Metasploit, Brent Cook, respondeu às questões em relação à capacidade de indivíduos maliciosos usarem a informação do Rapid7. “O Metasploit é um toolkit open-source de exploração que pode ser usado por qualquer um. A informação do módulo do exploit traz mais entendimentos das técnicas de ataque e como mitigá-los. Isso vale para todos os módulos e técnicas incluídas no Metasploit Framework. Este módulo em particular ajuda os defensores que dependem de ferramentas open-source para teste e de priorização de riscos de segurança”, afirma Cook.
A importância do patch
A Microsoft liberou um patch para o BlueKeep em maio, mas ainda há um grande número de usuários vulneráveis. Organizações governamentais de segurança em todo o mundo – incluindo a NSA nos EUA, o BSI na Alemanha e o National Cyber Security Center na Grã-Bretanha – já destacaram a importância de se aplicar os patches do BlueKeep, possivelmente temendo um novo episódio como o do WannaCry. Deixar sistemas vulneráveis pode ser perigoso e caro para empresas.
Os cibercriminosos são conhecidos por atacar até mesmo vulnerabilidades já com patch disponível, apostando no fato de que muitas empresas não os aplicam logo que são publicados. Um relatório do Rapid7 sobre exploits do BlueKeep ressalta que houve um aumento na atividade de protocolo remoto de desktop (RDP) depois da divulgação do BlueKeep.
Confira algumas das boas práticas que ajudam empresas e usuários a reduzir sua exposição ao BlueKeep e outros similares:
- Atualize os sistemas e instale os patches oficiais (ou virtuais em caso de sistemas legados ou em EOS);
- Restrinja ou proteja o uso de desktop remoto. Por exemplo, bloquear a porta 3389 (ou desabilitá-la quando fora de uso) pode evitar que ameaças iniciem conexões a sistemas por trás do firewall;
- Ative a autenticação em nível de rede (NLA) para evitar que invasores sem autenticação se utilizem do BlueKeep. Isso pode ser configurado no Windows 7 e no Server 2008 (incluindo a versão R2);
- Faça valer o princípio do mínimo privilégio. Ao usar mecanismos como criptografia, políticas de bloqueio e acesso hierarquizado, você estabelece novas camadas de segurança contra ataques e ameaças que envolvam a violação de desktops remotos.
- Confira o alerta oficial da Trend Micro publicado em maio de 2019 sobre a vulnerabilidade.
As soluções Trend Micro™ Deep Security™and Vulnerability Protection defendem os usuários e sistemas contra ameaças que visem ao CVE-2019-0708 por meio da seguinte regra de Deep Packet Inspection (DPI):
- 1009749 – Microsoft Windows Remote Desktop Services Remote Code Execution Vulnerability
Já os usuários do Trend Micro™ TippingPoint™ são protegidos contra os perigos ligados à exploração do CVE-2019-0708 pelo filtro MainlineDV:
- 35296: RDP: Microsoft Remote Desktop Services Negotiation Request Without CredSSP
FONTE: Trend Micro