Bluekeep: Nova vulnerabilidade do protocolo RDP afeta diversos dispositivos com Windows

Nós temos recebido diversas notificações de vulnerabilidades em computadores com Windows instalado através do protocolo RDP (Remote Desktop Protocol). E também identificamos diversos clientes que utilizam o acesso remoto a servidores através de redirecionamentos externos sem nenhum tipo de restrição na internet. Com o objetivo de demonstrar este tipo de vulnerabilidade e orientar aos administradores de redes, nós gostaríamos de compartilhar um video publicado pela SophosLabs com uma prova de conceito demonstrando uma das mais graves vulnerabilidades publicadas até hoje. Esta vulnerabilidade afeta os sistemas operacionais Windows XP, Windows 7, Windows Server 2003 e Windows Server 2008, que foi batizada como BlueKeep (CVE-2019-0708). Este nome foi dado pelo fato que alguns exploits desenvolvidos por hackers acabavam gerando uma inconsistência no sistema e gerando a famosa “tela azul” de erro que obriga o sistema a ser reiniciado manualmente.

O exploit é executado sem nenhuma interação humana, provendo acesso completo remoto ao sistema operacional e sem a necessidade de utilizar nenhum malware. O desenvolvimento deste exploit foi realizado através de engenharia reversa pela equipe de especialistas da SophosLabs. E o código não foi divulgado publicamente por questão de ética profissional e da não propagação de malware indiscriminadamente. A técnica utilizada pela equipe do SophosLabs envolve a substituição de um executável chamado util.man.exe (componente do sistema operacional), por um outro componente confiável também do sistema, o terminal de comando (cmd.exe). O utilman é responsável por parte da função de acessibilidade do Windows na tela de login. Este binário é iniciado através do winlogon.exe com privilégio de “system”, e que quando substituído por outro binário confiável também irá garantir o mesmo nível de acesso ao sistema.

No vídeo é mostrado uma tentativa de acesso do computador antes de ser explorada a vulnerabilidade utilizando o exploit. E depois que o exploit é executado é demonstrado o acesso ao sistema através do ícone de acessibilidade que inicia um acesso via shell do sistema com privilégio de administrador.

Após explorar a vulnerabilidade o hacker poderá realizar qualquer tipo de acesso ao sistema local e também acessar demais computadores e dispositivos dentro da rede. Sendo assim, este pode ser uma das brechas utilizadas para se iniciar um ataque de Ransomware no ambiente. E analisando as medidas de prevenção contra este tipo de vulnerabilidades, nós recomendamos fortemente que nunca deixe um computador com acesso via RDP liberado na Internet. Mesmo que você altere a parta padrão TCP/3389, os bots atuais fazem escaneamento de portas para identificar serviços disponíveis em portas não-padrão.

A solução definitiva do problema é a utilização de um tunnel VPN com criptografia e autenticação de usuário no usuário remoto. Para que somente com este túnel seguro estabelecido é possível do usuário acessar remotamente o computador.

Nós recomendamos alguns tipos de túneis VPNs que são mais seguros e compatíveis com as principais soluções de Firewall, como: L2TP/IPSec e SSL com uso de certificado digital.

Matéria completa: https://news.sophos.com/en-us/2019/07/01/bluekeep-poc-demonstrates-risk-of- remote-desktop-exploit/

Comments

Leave a Reply

You must be logged in to post a comment.