O investigador de segurança Zǝɹosum0x0 desenvolveu um módulo para a popular estrutura de testes de penetração Metasploit para explorar a vulnerabilidade BlueKeep.
A vulnerabilidade, identificada com o CVE-2019-0708, afeta o Windows Remote Desktop Services (RDS) e foi mitigada pela Microsoft com o patch Tuesday de maio de 2019.
O BlueKeep é uma falha que pode ser explorada por autores de malware para criar códigos maliciosos com um impacto semelhante ao WannaCry.
Conforme explicado pela Microsoft, esta vulnerabilidade pode ser explorada via malware com recursos de wormable; i.e., ela pode ser explorada sem interação do utilizador, possibilitando que o malware se dissemine de maneira descontrolada nas redes alvo.
Muitos especialistas de segurança já desenvolveram o seu próprio exploit mas sem divulgá-lo publicamente por razões óbvias.
A Microsoft lançou patches para o Windows 7, Server 2008, XP e Server 2003. Os utilizadores do Windows 7 e Server 2008 podem evitar ataques não autenticados ativando o NLA (Network Level Authentication) e a ameaça também pode ser atenuada pelo bloqueio da porta TCP 3389.
O módulo Metasploit pode ser usado para acionar a falha do BlueKeep nos computadores vulneráveis com a versão Windows XP, 7 e Server 2008, mas o especialista não o divulgou publicamente para evitar que agentes de ameaças o utilizem in-the-wild.
Rough draft MSF module. Still too dangerous to release, lame sorry. Maybe after first mega-worm?
🚨 PATCH #BlueKeep CVE-2019-0708 🚨
35c2571801b3b6c4297ed362cf901dc4e907ff32a276fb6544a2b9d0f643f207 pic.twitter.com/y0g9R9HNnc
— zǝɹosum0x0🦉 (@zerosum0x0) June 4, 2019
Zǝɹosum0x0 também publicou um vídeo PoC que mostra como explorar a vulnerabilidade do BlueKeep num sistema com o Windows 2008 instalado.
De acordo com o especialista, o módulo também pode ser usado em máquinas com o Windows 7 e Server 2008 R2. No entanto, este módulo Metasploit não funciona contra o Windows Server 2003.