Expert desenvolveu um módulo do MetaSploit para o BlueKeep.

O investigador de segurança Zǝɹosum0x0 desenvolveu um módulo para a popular estrutura de testes de penetração Metasploit para explorar a vulnerabilidade BlueKeep.

A vulnerabilidade, identificada com o CVE-2019-0708, afeta o Windows Remote Desktop Services (RDS)  e foi mitigada pela Microsoft com o patch Tuesday de maio de 2019.

O BlueKeep é uma falha que pode ser explorada por autores de malware para criar códigos maliciosos com um impacto semelhante ao WannaCry.

Conforme explicado pela Microsoft, esta vulnerabilidade pode ser explorada via malware com recursos de wormable; i.e., ela pode ser explorada sem interação do utilizador, possibilitando que o malware se dissemine de maneira descontrolada nas redes alvo.

Muitos especialistas de segurança já desenvolveram o seu próprio exploit mas sem divulgá-lo publicamente por razões óbvias.

A Microsoft lançou patches para o Windows 7, Server 2008, XP e Server 2003. Os utilizadores do Windows 7 e Server 2008 podem evitar ataques não autenticados ativando o NLA (Network Level Authentication) e a ameaça também pode ser atenuada pelo bloqueio da porta TCP 3389.

O módulo Metasploit pode ser usado para acionar a falha do BlueKeep nos computadores vulneráveis com a versão Windows XP, 7 e Server 2008, mas o especialista não o divulgou publicamente para evitar que agentes de ameaças o utilizem in-the-wild.

 

Zǝɹosum0x0 também publicou um vídeo PoC que mostra como explorar a vulnerabilidade do BlueKeep num  sistema com o Windows 2008 instalado.

 

De acordo com o especialista, o módulo também pode ser usado em máquinas com o Windows 7 e Server 2008 R2. No entanto, este módulo Metasploit não funciona contra o Windows Server 2003.