En mayo de este año, Microsoft lanzó un parche para un error de ejecución de código remoto altamente crítico, denominado BlueKeep, en sus Servicios de escritorio remoto de Windows que podría explotarse de forma remota para tomar el control total de los sistemas vulnerables simplemente enviando solicitudes especialmente diseñadas sobre RDP.

BlueKeep, rastreado como CVE-2019-0708, es una vulnerabilidad que se debe parchear inmediatamente porque puede ser armado por un posible malware para propagarse automáticamente de una computadora vulnerable a otra sin requerir la interacción de las víctimas.

Se ha considerado que BlueKeep es una amenaza tan grave que desde su descubrimiento, Microsoft e incluso las agencias gubernamentales [NSA y GCHQ] han estado alentando continuamente a los usuarios y administradores de Windows a aplicar parches de seguridad antes de que los piratas informáticos se apoderen de sus sistemas.

Incluso muchas firmas de seguridad e investigadores individuales de ciberseguridad que desarrollaron con éxito un exploit totalmente funcional para BlueKeep se comprometieron a no lanzarlo al público por un bien mayor, especialmente porque casi un millón de sistemas se encontraron vulnerables incluso un mes después del lanzamiento de los parches.

Esta es la razón por la cual los atacantes informáticos aficionados tardaron casi seis meses en encontrar un exploit BlueKeep que todavía no es confiable y ni siquiera tiene un componente que se pueda eliminar.

La explotación de BlueKeep fue especulada por primera vez por Kevin Beaumont el sábado cuando sus múltiples sistemas de honeypot EternalPot RDP se estrellaron y se reiniciaron de repente.

Marcus Hutchins, el investigador que ayudó a detener el brote de ransomware WannaCry en 2017, luego analizó los volcados de memoria compartidos por Beaumont y confirmó «artefactos BlueKeep en la memoria y el código de shell para lanzar un minador Monero».

En una publicación de blog hoy, Hutchins dijo: «Finalmente, confirmamos que este segmento [en un volcado de memoria] apunta a un shellcode ejecutable. En este punto, podemos afirmar intentos válidos de explotación de BlueKeep en la naturaleza, con un shellcode que incluso coincide con el del shellcode en el módulo BlueKeep Metasploit!»

El exploit contiene comandos codificados de PowerShell como carga útil inicial, que luego descarga el binario ejecutable malicioso final de un servidor remoto controlado por el atacante y lo ejecuta en los sistemas de destino.

Según el servicio de escaneo de malware VirusTotal, el binario malicioso es un malware de criptomonedas que extrae Monero (XMR) utilizando la potencia informática de los sistemas infectados para generar ingresos para los atacantes.

¡Pero no es un ataque Wormable!

Hutchins también confirmó que el malware propagado por este exploit de BlueKeep no contiene ninguna capacidad de propagación automática para saltar sin ayuda de una computadora a otra.

En cambio, parece que los atacantes desconocidos primero escanean Internet para encontrar sistemas vulnerables y luego los explotan.

En otras palabras, sin un componente susceptible de gusano, los atacantes solo podrían comprometer los sistemas vulnerables que están directamente conectados a Internet, pero no aquellos que están conectados internamente y son accesibles desde ellos.

Aunque los piratas informáticos sofisticados ya podrían haber estado explotando la falla BlueKeep para comprometer sigilosamente a las víctimas específicas, afortunadamente, la falla aún no se ha explotado a mayor escala, como los ataques de WannaCry o NotPetya, como se especuló inicialmente.

Sin embargo, al momento de escribir este artículo, no está claro cuántos sistemas BlueKeep vulnerables de Windows se han visto comprometidos en los últimos ataques cibernéticos para implementar el minero Monero en la naturaleza.

¿Para protegerte? Soluciona la maldita vulnerabilidad  CVE-2019-0708

Si no es posible solucionar la vulnerabilidad, se pueden tomar estas mitigaciones:

  • Deshabilite los servicios RDP, si no es necesario.
  • Bloquee el puerto 3389 utilizando un firewall o hágalo accesible solo a través de una VPN privada.
  • Habilitar la autenticación de nivel de red (NLA): esta es una mitigación parcial para evitar que cualquier atacante no autenticado explote esta falla Wormable.

Fuente: THN

Compartir