fbpx

BlueKeep – Nova falha no Windows

Uma nova vulnerabilidade nos sistemas Windows pode se tornar uma dor de cabeça para os profissionais de T.I.

Divulgada pelo Patch Tuesday de maio e rastreada pelo CVE-2019-0708 (quer entender o que é um CVE? Clique AQUI), a vulnerabilidade foi batizada de BlueKeep.

A BlueKeep é uma vulnerabilidade no serviço RDP (Remote Desktop Protocol) e afeta apenas as versões mais antigas do sistema da Microsoft (XP, W7, W7SP1, Server 2008 todos).  Esse protocolo é baseado nos padrões de protocolos T120 e tem a capacidade de proporcionar multicanais virtuais para transporte de dados de apresentação e comunicação (teclado e mouse), permitindo a conexão remota e controle total do dispositivo Windows que esteja com esse serviço ativo. Por padrão o servidor escuta a porta TCP 3389, e foi projetado para se adequar a diversas topologias de rede.

Todas essas características do RDP é que tornam essa vulnerabilidade tão preocupante. A BlueKeep não necessita de um usuário autenticado ou de uma interação direta do usuário alvo, permitindo um acesso direto sem grandes barreiras, bastando “apenas” enviar solicitações especialmente criadas para o sistema a ser atacado.

Outra característica importante é que a falha é do tipo wormable, ou seja, ela tem a capacidade de permitir que o ataque se replique pela rede de forma semelhante ao uso do SMB EternalBlue nos ataques com o WannaCry, NotPetya e outros surtos de ransomware.

Apesar da Microsoft ainda não ter registrado nenhuma exploração efetiva, essa vulnerabilidade é preocupante pois estima-se que ao menos cerca de 1 milhão de dispositivos estão sujeitos à falha (número muito menor do que o inicialmente previsto – 7 milhões – mas ainda assim um número consideravelmente grande).

De acordo com uma pesquisa publicada pelo chefe da empresa de segurança Errata Security, Robert Graham, uma varredura revelou que apesar do número otimista de dispositivos afetados ser bem menor que os iniciais, as buscas feitas por eles não foram capazes de determinar dispositivos vulneráveis em redes internas e nem o número dos que não tem o serviço respondendo na porta padrão.

A boa notícia é que basta realizar a atualização do último Patch de segurança que o problema estará mitigado. Alternativas à atualização são: Desativar os serviços de área de trabalho remota caso não sejam necessários, habilitar o NLA (autenticação em nível de rede) e ainda bloqueio da porta TCP 3389 no firewall.

Mesmo que não exista registros de exploração dessa falha, estima-se que não demore muito para termos uma nova onda de ataques.




Menu