Da quando è stata scoperta sei mesi fa, la vulnerabilità di BlueKeep ha (non solo) iniziato a preoccupare tutta la comunità della sicurezza informatica per gli eventuali e imminenti attacchi in stile WannaCryptor . All’inizio di novembre, Microsoft insieme ai ricercatori di sicurezza Kevin Beaumont e Marcus Hutchins ha fatto luce sulla prima campagna malevola volta a sfruttare il difetto critico di esecuzione del codice remoto (RCE). Gli attacchi hanno preso di mira i sistemi Windows sprovvisti della patch che risolve la vulnerabilità per l’installazione di software di mining di criptovaluta, ma le conseguenze di questi primi tentativi sono ben lontane da quelle prodotte dal WannaCryptor, conosciuto anche come WannaCry, nel maggio 2017.
Monitorato come CVE-2019-0708 , BlueKeep è stato trovato in un componente di Windows noto come Remote Desktop Services e interessa le macchine che eseguono versioni senza patch di Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Purtroppo, c’è ancora un gran numero di sistemi che non sono stati adeguatamente aggiornati, anche se Microsoft ha pubblicato la soluzione già il 14 maggio.
I primi casi rilevati di questa campagna di mining risalgono al 23 ottobre scorso. Dopo ulteriori indagini da parte di ricercatori Microsoft, è stato scoperto che una precedente campagna era già in atto a settembre e utilizzava una struttura principale che contattava gli stessi server di comando e controllo (C&C) dell’attacco di ottobre. Sono state colpite macchine in diversi paesi, tra cui Francia, Russia, Italia, Spagna, Ucraina, Germania e Regno Unito.
Gli aggressori hanno usato un exploit BlueKeep che è stato rilasciato dal team Metasploit a settembre. Prima di avviare la campagna hanno investito tempo e risorse per rintracciare su Internet le macchine vulnerabili sui servizi RDP (Remote Desktop Protocol), poi si sono occupati della distribuzione dell’exploit e infine dell’installazione del software per il mining di criptovaluta.
Come si può vedere dai molteplici arresti anomali dell’RDP registrati dal centro di sicurezza Microsoft l’exploit è instabile. Proprio questi incidenti hanno spinto il ricercatore di sicurezza Kevin Beaumont a indagare e a rilevare questi.
Se l’attacco può sembrare deludente considerando la copertura mediatica che la vulnerabilità di BlueKeep ha ricevuto, il peggio potrebbe ancora arrivare. La vulnerabilità è “wormable”, il che significa che futuri exploit potrebbero usarlo per diffondere malware all’interno o all’esterno delle reti in modo simile a quanto visto con WannaCryptor.
La gravità della situazione non dovrebbe essere sottovalutata, tanto da indurre Microsoft a emettere tre avvisi da maggio e a invitare i suoi utenti a correggere e aggiornare i computer vulnerabili. All’inizio di quest’anno , anche la National Security Agency (NSA) degli Stati Uniti e la Cybersecurity and Infrastructure Security Agency (CISA) hanno emesso diffuso alcuni allarmi a riguardo. Recentemente anche l’Australian Cyber Security Centre (ACSC) della direzione dei segnali australiani ha fatto eco agli avvertimenti e ha sollecitato a una maggiore vigilanza.
1 Commento