BlueKeep

BlueKeep

Um logotipo criado para a vulnerabilidade, apresentando uma torre de menagem, uma torre fortificada construída dentro de castelos.
Identificador CVE CVE-2019-0708
Data da correção 14 maio 2019; há 5 anos[1]
Descobridor Centro nacional de segurança cibernética (Reino Unido)[2]
Software afetado versões do Microsoft Windows anteriores ao Windows 8

O BlueKeep (CVE-2019-0708) é uma vulnerabilidade de segurança descoberta na implementação do protocolo de área de trabalho remota (RDP) da Microsoft, que permite a execução remota de código.

Relatado pela primeira vez em maio de 2019, ele está presente em todas as versões do Microsoft Windows sem correção baseadas no Windows NT, do Windows 2000 ao Windows Server 2008 R2 e Windows 7. A Microsoft lançou uma correção de segurança (incluindo uma atualização fora de banda para várias versões do Windows que atingiran o fim de sua vida útil, como o Windows XP) em 14 de maio de 2019. Em 13 de agosto de 2019, vulnerabilidades de segurança relacionadas ao BlueKeep, coletivamente chamadas de DejaBlue, afetaram versões mais recentes do Windows, incluindo o Windows 7 e todas as versões recentes até o Windows 10 do sistema operacional, bem como as versões anteriores do Windows.[3] Em 6 de setembro de 2019, uma exploração Metasploit da vulnerabilidade de segurança worm BlueKeep foi anunciada como tendo sido lançada no domínio público.[4]

História

[editar | editar código-fonte]

A vulnerabilidade de segurança BlueKeep foi observada pela primeira vez pelo centro nacional de segurança cibernética do Reino Unido[2] e, em 14 de maio de 2019, relatada pela Microsoft. A vulnerabilidade foi chamada de BlueKeep pelo especialista em segurança de computador Kevin Beaumont no Twitter. O BlueKeep é oficialmente rastreado como: CVE-2019-0708 e é uma vulnerabilidade de execução remota de código "worm".[5][6]

Tanto a agência de segurança nacional dos Estados Unidos (que emitiu seu próprio comunicado sobre a vulnerabilidade em 4 de junho de 2019)[7] e a Microsoft afirmaram que esta vulnerabilidade poderia ser usada por worms autopropagados, com a Microsoft (com base na estimativa de um pesquisador de segurança de que quase 1 milhão de dispositivos eram vulneráveis), dizendo que tal ataque teórico poderia ser de uma escala semelhante a ataques baseados no EternalBlue, como o NotPetya e o WannaCry.[8][9][7]

No mesmo dia do comunicado da NSA, os pesquisadores do centro de coordenação CERT divulgaram um problema de segurança separado relacionado ao RDP na atualização do Windows 10 de maio de 2019 e no Windows Server 2019, citando um novo comportamento em que as credenciais de login usadas na autenticação em nível de rede (NLA) do RDP são armazenadas em cache no sistema do cliente e o usuário pode obter acesso novamente à sua conexão RDP automaticamente se a conexão de rede for interrompida. A Microsoft descartou essa vulnerabilidade como sendo um comportamento intencional e pode ser desabilitada por meio da diretiva de grupo.[10]

Desde 1º de junho de 2019, nenhum malware ativo da vulnerabilidade parecia ser conhecido publicamente; no entanto, códigos de prova de conceito (PoC) não divulgados que exploram a vulnerabilidade podiam estar disponíveis.[8][11][12][13] Em 1º de julho de 2019, a Sophos, uma empresa de segurança britânica, relatou um exemplo de funcionamento de um PoC, a fim de enfatizar a necessidade urgente de corrigir a vulnerabilidade.[14][15][16] Em 22 de julho de 2019, mais detalhes de uma exploração foram supostamente revelados por um palestrante de uma empresa de segurança chinesa.[17] Em 25 de julho de 2019, especialistas em informática relataram que uma versão comercial do exploit poderia estar disponível.[18][19] Em 31 de julho de 2019, especialistas em informática relataram um aumento significativo na atividade maliciosa de RDP e avisaram, com base em históricos de explorações de vulnerabilidades semelhantes, que uma exploração ativa da vulnerabilidade BlueKeep em poderia ser iminente.[20]

Em 13 de agosto de 2019, vulnerabilidades de segurança BlueKeep relacionadas, coletivamente chamadas DejaBlue, foram relatadas como afetando as versões mais recentes do Windows, incluindo o Windows 7 e todas as versões recentes do sistema operacional até o Windows 10, bem como as versões mais antigas do Windows.[3]

Em 6 de setembro de 2019, uma exploração da vulnerabilidade de segurança BlueKeep worm foi anunciada como tendo sido lançada no domínio público.[4] A versão inicial desse exploit, no entanto, não era confiável, sendo conhecido por causar erros de "tela azul da morte" (BSOD). Uma correção foi anunciada posteriormente, removendo a causa do erro BSOD.[21]

Em 2 de novembro de 2019, a primeira campanha hacking do BlueKeep em grande escala foi relatada e incluiu uma missão malsucedida de criptojacking.[22]

Em 8 de novembro de 2019, a Microsoft confirmou um ataque do BlueKeep e pediu aos usuários que corrigissem imediatamente seus sistemas Windows.[23]

Mecanismo

[editar | editar código-fonte]

O RDP usa "canais virtuais", configurados antes da autenticação, como um caminho de dados entre o cliente e o servidor para fornecer extensões. O RDP 5.1 define 32 canais virtuais "estáticos" e os canais virtuais "dinâmicos" estão contidos em um desses canais estáticos. Se um servidor vincular o canal virtual "MS_T120" (um canal para o qual não há razão legítima para um cliente se conectar) a um canal estático diferente de 31, ocorre corrupção de memória que permite a execução de código arbitrário em nível de sistema.[24]

O Windows XP, o Windows Vista, o Windows 7, o Windows Server 2003, o Windows Server 2008 e o Windows Server 2008 R2 foram citados pela Microsoft como vulneráveis a esse ataque. Versões mais recentes que 7, como o Windows 8 e o Windows 10, não foram afetadas. A agência de segurança cibernética e de infraestrutura afirmou que também obteve êxito na execução de código por meio da vulnerabilidade no Windows 2000.[25]

Mitigação

[editar | editar código-fonte]

A Microsoft lançou cooreções para a vulnerabilidade em 14 de maio de 2019, para Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2. Isso inclui versões do Windows que chegaram ao fim de sua vida útil (como Vista, XP e Server 2003) e, portanto, não são mais elegíveis para atualizações de segurança.[8] A correção força o referido canal "MS_T120" a sempre ser vinculado a 31, mesmo se solicitado de outra forma por um servidor RDP.[24]

A NSA recomendou medidas adicionais, como desabilitar os serviços de área de trabalho remota e sua porta associada (TCP 3389), se não estiverem sendo usados, e exigir a autenticação em nível de rede (NLA) para o RDP.[26] ​De acordo com a empresa de segurança de computadores Sophos, a autenticação de dois fatores pode tornar o problema do RDP menos vulnerável. No entanto, a melhor proteção é tirar o RDP da Internet: desligar o RDP se não for necessário e, se necessário, tornar o RDP acessível apenas por meio de uma VPN. [27]

Ver também

[editar | editar código-fonte]

Referências

[editar | editar código-fonte]
  1. Foley, Mary Jo (14 de maio de 2019). «A Microsoft corrige o Windows XP, Server 2003 para tentar evitar falha "worm"». ZDNet (em inglês). Consultado em 7 de junho de 2019 
  2. a b Microsoft (maio de 2019). «Guia de atualização de segurança - Reconhecimentos, maio de 2019». Microsoft (em inglês). Consultado em 7 de junho de 2019 
  3. a b Greenberg, Andy (13 de agosto de 2019). «DejaBlue: novas falhas no estilo BlueKeep renovam o risco de um worm do Windows». Wired (em inglês). Consultado em 13 de agosto de 2019 
  4. a b Goodin, Dan (6 de setembro de 2019). «Exploit para falha worm BlueKeep do Windows lançado para o mundo - O módulo Metasploit não é tão polido quanto o exploit EternalBlue. Ainda assim, é poderoso.». Ars Technica (em inglês). Consultado em 6 de setembro de 2019 
  5. «Orientação do cliente para CVE-2019-0708 - Vulnerabilidade de execução remota de código de serviços de área de trabalho remota». Microsoft (em inglês). 14 de maio de 2019. Consultado em 29 de maio de 2019 
  6. «CVE-2019-0708 Vulnerabilidade de execução remota de código dos serviços de área de trabalho remota - Vulnerabilidade de segurança». Microsoft (em inglês). 14 de maio de 2019. Consultado em 28 de maio de 2019 
  7. a b Cimpanu, Catalin. «Até mesmo a NSA está pedindo aos usuários do Windows que façam a correção do BlueKeep (CVE-2019-0708)». ZDNet (em inglês). Consultado em 20 de junho de 2019 
  8. a b c Goodin, Dan (31 de maio de 2019). «A Microsoft praticamente implora que os usuários do Windows corrijam a falha worm do BlueKeep». Ars Technica (em inglês). Consultado em 31 de maio de 2019 
  9. Warren, Tom (14 de maio de 2019). «Microsoft alerta sobre grande exploração de segurança do Windows, como o WannaCry, e lança correções do XP». The Verge (em inglês). Consultado em 20 de junho de 2019 
  10. «Microsoft descarta o nova falha do RDP do Windows como um recurso». Naked Security (em inglês). 6 de junho de 2019. Consultado em 20 de junho de 2019 
  11. Whittaker, Zack (31 de maio de 2019). «A Microsoft avisa os usuários para corrigirem à medida que surgirem exploits para a falha "wormable" do BlueKeep». TechCrunch (em inglês). Consultado em 31 de maio de 2019 
  12. O'Neill, Patrick Howell (31 de maio de 2019). «Você precisa corrigir seus PCs com Windows mais antigos agora mesmo para corrigir uma falha grave». Gizmodo (em inglês). Consultado em 31 de maio de 2019 
  13. Winder, Davey (1 de junho de 2019). «Aviso de "atualizar agora" da Microsoft para usuários do Windows». Forbes (em inglês). Consultado em 1 de junho de 2019 
  14. Palmer, Danny (2 de julho de 2019). «BlueKeep: pesquisadores mostram como esse exploit para o Windows pode realmente ser perigoso - os pesquisadores desenvolveram um ataque de prova de conceito após fazer a engenharia reversa da correção Microsoft para o BlueKeep.». ZDNet (em inglês). Consultado em 2 de julho de 2019 
  15. Stockley, Mark (1 de julho de 2019). «O exploit RDP BlueKeep mostra por que você realmente precisa de uma correção». NakedSecurity.com (em inglês). Consultado em 1 de julho de 2019 
  16. «CVE-2019-0708: Vulnerabilidade de execução remota de código dos serviços de área de trabalho remota (conhecida como BlueKeep) - Boletim de suporte técnico». Sophos (em inglês). 29 de maio de 2019. Consultado em 2 de julho de 2019 
  17. Goodin, Dan (22 de julho de 2019). «As chances de exploit destrutivo do BlueKeep aumentam com o novo explicador postado online - os slides fornecem a documentação técnica mais detalhada disponível ao público vista até agora.». Ars Technica (em inglês). Consultado em 23 de julho de 2019 
  18. Cimpanu, Catalin (25 de julho de 2019). «Empresa americana vende exploit BlueKeep como arma - Um exploit para uma vulnerabilidade que a Microsoft temia que pudesse desencadear o próximo WannaCry agora está sendo vendido comercialmente.». ZDNet (em inglês). Consultado em 25 de julho de 2019 
  19. Franceschi-Bicchieral, Lorenzo (26 de julho de 2019). «Empresa de segurança cibernética descarta código para vulnerabilidade 'BlueKeep' do Windows incrivelmente perigoso - Pesquisadores da Immunity, empreiteira do governo dos Estados Unidos, desenvolveram um exploit funcional para o temido bug do Windows conhecido como BlueKeep.». Vice (em inglês). Consultado em 26 de julho de 2019 
  20. Rudis, Bob (31 de julho de 2019). «Os exploits do BlueKeep podem estar chegando: nossas observações e recomendações». Rapid7.com (em inglês). Consultado em 1 de agosto de 2019 
  21. Cimpanu, Catalin (11 de novembro de 2019). «Exploit do BlueKeep para obter uma correção para seu problema de BSOD». ZDNet (em inglês) 
  22. Greenberg, Andy (2 de novembro de 2019). «O primeiro ataque em massa do BlueKeep está finalmente aqui - mas não entre em pânico - Após meses de avisos, o primeiro ataque bem sucedido usando a vulnerabilidade do BlueKeep da Microsoft chegou - mas não é tão ruim quanto poderia ter sido.». Wired (em inglês). Consultado em 3 de novembro de 2019 
  23. «A Microsoft trabalha com pesquisadores para detectar e proteger contra novos exploits RDP». Microsoft (em inglês). 7 de novembro de 2019. Consultado em 9 de novembro de 2019 
  24. a b «RDP significa "realmente corrigir! (really do patch!)" - Compreendendo a vulnerabilidade worm RDP CVE-2019-0708». Blogs McAfee (em inglês). 21 de maio de 2019. Consultado em 19 de junho de 2019 
  25. Tung, Liam. «Segurança interna: testamos o ataque BlueKeep e ele funciona, portanto, corrija agora». ZDNet (em inglês). Consultado em 20 de junho de 2019 
  26. Cimpanu, Catalin. «Até mesmo a NSA está pedindo aos usuários do Windows que façam a correção do BlueKeep (CVE-2019-0708)». ZDNet (em inglês). Consultado em 20 de junho de 2019 
  27. Stockley, Mark (17 de julho de 2019). «RDP exposto: os lobos já estão à sua porta». Sophos (em inglês). Consultado em 17 de julho de 2019 

Ligações externas

[editar | editar código-fonte]