Un esperto di sicurezza ha sviluppato un modulo Metasploit per sfruttare la temuta vulnerabilità BlueKeep che consente di eseguire codice in remoto sui sistemi vulnerabili.
Zǝɹosum0x0 non ha pubblicamente distribuito il modulo per evitare che attaccanti in rete possano utilizzarlo per compire un’amplia gamma di sistemi vulnerabili esposti online.
Rough draft MSF module. Still too dangerous to release, lame sorry. Maybe after first mega-worm?
🚨 PATCH #BlueKeep CVE-2019-0708 🚨
35c2571801b3b6c4297ed362cf901dc4e907ff32a276fb6544a2b9d0f643f207 pic.twitter.com/y0g9R9HNnc
— zǝɹosum0x0🦉 (@zerosum0x0) June 4, 2019
La vulnerabilità, identificata come CVE-2019-0708, affligge il servizio di Desktop Remoto di Windows (RDS) ed è stata risolta da Microsoft con gli aggiornamenti di sicurezza rilasciati in maggio 2019. La falla BlueKeep è un difetto descritto come “wormable,” ovvero può essere sfruttato dagli autori di malware per creare codice in grado di propagarsi rapidamente ad altri sistemi, proprio come accadde nel caso dell’attacco WannaCry.
Come spiegato dagli esperti di Microsoft, questa vulnerabilità potrebbe essere sfruttata dai malware per infettare altri sistemi propagandosi rapidamente ed in modo incontrollato nelle reti che ospitano sistemi infetti.
Molti esperti di sicurezza hanno già sviluppato il proprio codice per lo sfruttamento della falla BlueKeep, ovviamente hanno evitato di rendere pubblici questi exploit per evitare che attaccanti possano utilizzarli in attacchi in rete.
Microsoft ha già rilasciato delle patch per sistemi Windows 7, Server 2008, XP e Server 2003. Gli utenti di Windows 7 e Server 2008 possono prevenire attacchi da parte di utenti non autenticati abilitando il Network Level Authentication (NLA) e la minaccia può essere mitigata anche bloccando la porta TCP 3389.
La notizia del giorno è tuttavia quella che il modulo Metasploit sviluppato dall’esperto consente di sfruttare la falla BlueKeep per attaccare sistemi basati su Windows XP, 7 e Server 2008.
Zǝɹosum0x0 ha anche pubblicato un video PoC che mostra come sfruttare la vulnerabilità di BlueKeep su un sistema Windows 2008.
Una situazione a rischio
La situazione è estremamente preoccupante in quanto è stato stimato che circa un milione di dispositivi esposti online sono vulnerabili agli attacchi che sfruttano la vulnerabilità BlueKeep in sistemi Windows, e gli hacker sono pronti a colpirli.
Secondo Zǝɹosum0x0, il modulo Metasploit che ha sviluppato è utile anche per compromettere sistemi basati su Windows 7 e Server 2008 R2.
Questo modulo Metasploit non funziona tuttavia contro sistemi basati su Windows Server 2003.
Zǝɹosum0x0 ha anche sviluppato un modulo scanner Metasploit che consente di individuare sistemi esposti online ed affetti dalla falla BlueKeep.
Insomma, avrete compreso che siamo in stato di massima allerta e che temiamo possa esserci un attacco su larga scala ben presto, non appena un attore malevolo abbia sviluppato il proprio codice per sfruttare la falla BlueKeep.
Alla fine di maggio, Microsoft ha emesso un secondo avviso per gli utenti delle versioni passate del sistema operativo Windows, invitandoli ad aggiornare i propri sistemi.
Della stessa opinione è l’agenzia di intelligence americana NSA che ha anche emesso un avviso per chiedere agli utenti ed amministratori di sistemi Windows di installare le patch di sicurezza per risolvere il problema di BlueKeep.
Come detto in precedenza il pensiero va ad attacchi su scala globale simili a WannaCry che potrebbero causare perdite per miliardi di dollari ed avere conseguente imprevedibili quanto disastrose sulle operazioni di governi ed imprese.
