O investigador de segurança Zǝɹosum0x0 desenvolveu um módulo para a popular estrutura de testes de penetração Metasploit para explorar a vulnerabilidade BlueKeep.
A vulnerabilidade, identificada com o CVE-2019-0708, afeta o Windows Remote Desktop Services (RDS) e foi mitigada pela Microsoft com o patch Tuesday de maio de 2019.
O BlueKeep é uma falha que pode ser explorada por autores de malware para criar códigos maliciosos com um impacto semelhante ao WannaCry.
Conforme explicado pela Microsoft, esta vulnerabilidade pode ser explorada via malware com recursos de wormable; i.e., ela pode ser explorada sem interação do utilizador, possibilitando que o malware se dissemine de maneira descontrolada nas redes alvo.
Muitos especialistas de segurança já desenvolveram o seu próprio exploit mas sem divulgá-lo publicamente por razões óbvias.
A Microsoft lançou patches para o Windows 7, Server 2008, XP e Server 2003. Os utilizadores do Windows 7 e Server 2008 podem evitar ataques não autenticados ativando o NLA (Network Level Authentication) e a ameaça também pode ser atenuada pelo bloqueio da porta TCP 3389.
O módulo Metasploit pode ser usado para acionar a falha do BlueKeep nos computadores vulneráveis com a versão Windows XP, 7 e Server 2008, mas o especialista não o divulgou publicamente para evitar que agentes de ameaças o utilizem in-the-wild.
Rough draft MSF module. Still too dangerous to release, lame sorry. Maybe after first mega-worm?
🚨 PATCH #BlueKeep CVE-2019-0708 🚨
35c2571801b3b6c4297ed362cf901dc4e907ff32a276fb6544a2b9d0f643f207 pic.twitter.com/y0g9R9HNnc
— zǝɹosum0x0🦉 (@zerosum0x0) June 4, 2019
Zǝɹosum0x0 também publicou um vídeo PoC que mostra como explorar a vulnerabilidade do BlueKeep num sistema com o Windows 2008 instalado.
De acordo com o especialista, o módulo também pode ser usado em máquinas com o Windows 7 e Server 2008 R2. No entanto, este módulo Metasploit não funciona contra o Windows Server 2003.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.