Investigadores descobriram a primeira campanha em massa que explora a vulnerabilidade BlueKeep. Este ataque visa instalar um minerador criptográfico nos sistemas infetados.
Em maio, a Microsoft alertou os utilizaores para uma atualização extraordinária para solucionar a vulnerabilidade de execução remota de código chamada BlueKeep. Alguns dias depois, a Agência de Segurança Nacional (NSA) também pediu aos utilizadores e administradores do Windows que instalassem atualizações de segurança para corrigir a falha do BlueKeep (também conhecida como CVE- 2019-0708).
A vulnerabilidade, identificada como CVE-2019-0708, afeta o serviço RDP e foi patched pela Microsoft com as atualizações da Patch Tuesday de maio de 2019. O BlueKeep é uma falha que pode ser explorada por autores de malware para criar código malicioso com os recursos do WannaCry.
Conforme explicado pela Microsoft, esta vulnerabilidade pode ser aproveitada por malware, podendo ser explorada sem a interação do utilizador e possibilitando a propagação de malware de forma descontrolada nas redes de destino.
Atualmente, um grupo de hackers está a utilizar o PoC do BlueKeep lançado pela equipa do Metasploit em setembro para invadir sistemas Windows sem patch e instalar um minerador de cryptocurrency.
Segundo os especialistas, esta é a primeira tentativa de explorar a vulnerabilidade do BlueKeep RDP em ataques massivos in-the-wild.
Nos últimos meses, muitos investigadores desenvolveram o seu próprio código sem divulgá-lo publicamente por razões óbvias.
A Microsoft lançou patches para Windows 7, Server 2008, XP e Server 2003. Os utilizadores do Windows 7 e Server 2008 podem impedir ataques não autenticados, ativando a autenticação em nível de rede (NLA), e a ameaça também pode ser atenuada ao bloquear a porta TCP 3389.
Após a divulgação da vulnerabilidade, o popular especialista Robert Graham varreu a Internet na tentativa de procurar sistemas vulneráveis. Ele descobriu mais de 923.000 dispositivos potencialmente vulneráveis utilizando o scanner masscan e uma versão modificada do rdpscan.
huh, the EternalPot RDP honeypots have all started BSOD’ing recently. They only expose port 3389. pic.twitter.com/VdiKoqAwkr
— Kevin Beaumont (@GossiTheDog) November 2, 2019
O especialista Marcus Hutchins analisou os dados partilhados por Beaumont e confirmou que os ataques aos sistemas de honeypot foram atingidos por atacantes que aproveitavam a falha BlueKeep para implantar um minerador chamado Monero.
“Kevin kindly shared the crash dump with us and following this lead, we discovered the sample was being used in a mass exploitation attempt. Due to only smaller size kernel dumps being enabled, it is difficult to arrive at a definite root cause.” reads a blog post published by Hutchins.
“Finally, we confirm this segment points to executable shellcode. At this point we can assert valid BlueKeep exploit attempts in the wild, with shellcode that even matches that of the shellcode in the BlueKeep metasploit module!”
O exploit inclui uma sequência de comandos PowerShell que compõem a cadeia de ataque; a último payload é um binário executável, um Monero Miner, descarregado de um servidor remoto e executado nos sistemas de destino.
Hutchins apontou que o código malicioso envolvido no ataque massivo não implementa recursos de auto-propagação.
Atualmente, não há notícias sobre a extensão deste ataque, não está claro quantos sistemas Windows foram comprometidos com o minerador.
“Although this alleged activity is concerning, the information security community (correctly) predicted much worse potential scenarios. Based on our data we are not seeing a spike in indiscriminate scanning on the vulnerable port like we saw when EternalBlue was wormed across the Internet in what is now known as the WannaCry attack.” concludes the expert. “It seems likely that a low-level actor scanned the Internet and opportunistically infected vulnerable hosts using out-of-the-box penetration testing utilities.”