Equipe do Metasploit lança exploit BlueKeep

Os desenvolvedores da estrutura de teste de penetração do Metasploit lançaram hoje uma exploração armada para a vulnerabilidade do Windows BlueKeep.

Enquanto outros pesquisadores de segurança lançaram códigos de prova de conceito do BlueKeep que foram adulterados no passado, essa exploração é avançada o suficiente para obter a execução de código em sistemas remotos.

O QUE É O BLUEKEEP?

O BlueKeep, também conhecido como CVE-2019-0708, é uma vulnerabilidade no serviço RDP (Remote Desktop Protocol) em versões mais antigas do sistema operacional Windows (Windows XP, Windows 2003, Windows 7, Windows Server 2008 e Windows Server 2008 R2 )

A Microsoft corrigiu o BlueKeep nas correções de segurança do Patch Tuesday de maio de 2019 lançadas em 14 de maio e alertou os usuários a aplicá-los o mais rápido possível.

Na época, para estimular os usuários a aplicar patches mais rapidamente, o fabricante do sistema operacional descreveu o BlueKeep como uma vulnerabilidade “desagradável” que pode se auto-propagar de maneira semelhante à maneira como a exploração do EternalBlue ajudou o ransomware WannaCry a se propagar para milhões de computadores em 2017.

Desde que foi tornada pública, a comunidade de cibersegurança está prendendo a respiração coletiva pelo lançamento de uma primeira exploração armada do BlueKeep, temendo que possa ser abusada da mesma maneira e ajudar a alimentar um surto de malware global.

Hoje, porém, o Rapid7, empresa de cibersegurança por trás da estrutura Metasploit de código aberto, publicou uma exploração do BlueKeep como um módulo Metasploit , disponível para todos.

Diferente das dezenas de explorações de prova de conceito do BlueKeep que foram carregadas no GitHub nos últimos meses, este módulo pode obter a execução de código.

No entanto, o módulo Metasploit foi um pouco alterado. Atualmente, ele funciona apenas no modo “manual”, o que significa que precisa da interação do usuário para ser executado corretamente.

Os operadores do Metasploit devem alimentar um parâmetro com informações sobre o sistema que desejam segmentar. Isso significa que a exploração não pode ser usada de maneira automatizada como um worm de propagação automática, mas funcionará para ataques direcionados.

Por exemplo, um grupo de hackers que obteve acesso a uma rede corporativa pode implantá-la sistema a sistema e, eventualmente, invadir todas as estações de trabalho próximas, uma a uma, se tiver tempo suficiente à sua disposição.

Além disso, o módulo BlueKeep Metasploit também funciona apenas nas versões de 64 bits do Windows 7 e Windows 2008 R2, mas não nas outras versões do Windows que também eram vulneráveis ​​ao BlueKeep. Esse pequeno fato também restringe seu possível uso para atividades criminosas, embora não o exclua.

700.000 SISTEMAS AINDA VULNERÁVEIS

Embora um módulo tenha sido lançado hoje, os especialistas em segurança não esperam ver campanhas de malware ou hacks sendo aproveitados imediatamente.

Assim como em todo o resto, geralmente há uma curva de aprendizado mesmo com hackers, à medida que eles se acostumam a uma ferramenta.

No entanto, quando os chapéus pretos se acostumarem com o módulo, ainda haverá muitos sistemas vulneráveis ​​por aí. Isso ocorre porque, apesar de ter quase quatro meses para corrigir a vulnerabilidade do BlueKeep, a maioria dos usuários e empresas não conseguiu aplicar os patches da Microsoft.

De acordo com uma varredura do BinaryEdge, ainda existem 700.000 sistemas vulneráveis ​​ao BlueKeep expostos na Internet e possivelmente outros milhões dentro de redes com firewall.

bluekeep-be-stats.png



Compartilhe
  • 0
  •  
  •  
  •  
  •  
  •  
  •  

Comente