bluekeep cve-2019-0708

Um ataque global da falha “BlueKeep” pode estar a caminho

Remote Desktop Services Remote Code Execution Vulnerability

Autor: Luiz Vianna, postado em 08/08/2019 as 18:00
Hashtags: #bluekeep #rdp #vilnerability #malware #si #cve-2019-0708 #infraestruturaTI

Empresas de segurança no mundo inteiro têm evidenciado preocupações com um ataque global através de uma fragilidade denominada “BlueKeep”, no nível do que foram o WannaCry e o NotPetya. As preocupações aumentam à medida que informações sobre o desenvolvimento de exploits para esta vulnerabilidade começam a se tornar públicas.

A Sophos publicou um vídeo mostrando a atuação de uma prova de conceito criada por eles em seus laboratórios (https://vimeo.com/344915265). Outras provas de conceito, ainda em desenvolvimento, foram anunciadas pelas empresas Immunity Canvas, NCC Group e Rapid7. Além destas, também foram anunciadas provas de conceito de código aberto em plataformas como o GitHub.

A Agência de Segurança de Infraestrutura e Cibernética (CISA) emitiu um alerta com informações sobre uma vulnerabilidade presente nos sistemas operacionais Microsoft Windows, incluindo versões de 32 e 64 bits, bem como todas as versões do Service Pack.

Windows 2000Windows Server 2003
Windows VistaWindows Server 2003 R2
Windows 7Windows Server 2008 R2
Windows XPWindows Server 2008

Detalhes Técnicos

O BlueKeep (CVE-2019-0708) é uma vulnerabilidade de execução remota de código nos Serviços de Área de Trabalho Remota (Remote Desktop Services), anteriormente conhecidos como Serviços de Terminal (Terminal Services), que ocorre quando um invasor não autenticado conecta-se ao sistema de destino usando o RDP (Remote Desktop Protocol) e envia solicitações especialmente criadas para esta finalidade.

A exploração desta falha não requer autenticação e a interação do usuário. Um invasor que explorar com êxito este problema obterá privilégios de SISTEMA (NT AUTHORITY\SYSTEM), sendo capaz de executar código arbitrário no sistema de destino, instalar programas, visualizar arquivos, alterar ou excluir dados ou até mesmo criar novas contas com privilégios administrativos.

Para explorar esta vulnerabilidade, um invasor precisaria enviar uma solicitação maliciosa para o Serviço de Área de Trabalho Remota via RDP, usado pelos sistemas operacionais Microsoft Windows listados anteriormente. Essa exploração, que não requer interação do usuário, deve ocorrer antes da autenticação para ser bem-sucedida.

O BlueKeep é considerado uma vulnerabilidade com potencial para utilização por “worms”, porque o ataque a esta vulnerabilidade pode ser automatizado. Isso permitiria sua propagação para outros sistemas vulneráveis, de modo similar à falha implementada no “exploit EternalBlue”, empregado pelos malwares WannaCry e NotPetya. Sendo assim, uma ferramenta que se aproveite do BlueKeep seria capaz de espalhar-se rapidamente, de modo semelhante aos grandes ataques de Ransomware de 2017.

Como mitigar

O CISA incentiva os usuários e administradores de sistemas a revisarem o comunicado de segurança da Microsoft e aplicar medidas de mitigações cabíveis com a maior brevidade possível, mesmo se você optar por deixar os Serviços de Área de Trabalho Remota desativados:

  • Instale os patches disponíveis - A Microsoft lançou atualizações de segurança para corrigir essa vulnerabilidade. A Microsoft também lançou patches para vários sistemas operacionais que não são mais suportados oficialmente, incluindo o Windows Vista, o Windows XP e o Windows Server 2003.
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708)
  • Convém que, os administradores avaliem os impactos da aplicação dos patches antes das suas instalações.
  • Habilitar NLA (Autenticação em Nível de Rede) em sistemas que executam edições com suporte do Windows 7, Windows Server 2008 e Windows Server 2008 R2.
  • Bloqueie no firewall a porta TCP 3389 dentro do perímetro corporativo.

Para maiores detalhes

O Internet Storm Center do SANS publicou capturas de rede contendo a utilização de exploits:

https://isc.sans.edu/forums/diary/An+Update+on+the+Microsoft+Windows+RDP+Bluekeep+Vulnerability+CVE20190708+now+with+pcaps/24960/

Uma análise técnica da falha utilizando a ferramenta de engenharia reversa Radare2 foi publicada no GitHub:

https://github.com/0xeb-bp/bluekeep/blob/master/0xeb_bp_BlueKeep_Technical_Analysis.pdf

Uma análise com base na correção liberada pela Microsoft foi publicada no blog MalwareTech:

https://www.malwaretech.com/2019/05/analysis-of-cve-2019-0708-bluekeep.html

Fontes de referência

https://www.us-cert.gov/ncas/alerts/AA19-168A

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0708

https://www.trendmicro.com/vinfo/hk-en/security/news/vulnerabilities-and-exploits/nearly-1-million-systems-affected-by-wormable-bluekeep-vulnerability-cve-2019-0708

Quer conhecer melhor sobre o assunto ou deseja receber consultoria especializada?

Fale com nossos especialistas https://www.3elos.com.br/info.php


Monitorado pelo WebWatch

 Rua São José, 90 - Sala 1301 - Centro
 Rio de Janeiro - RJ - 20010-020
 +55 (21) 2263-8135 / 2213-3296 / 2253-6398

 Linkedin 3Elos   Facebook 3Elos   Twitter 3Elos