Un gruppo di ricercatori ha già progettato e sviluppato il codice exploit in grado di fare leva sulle vulnerabilità scoperte nell’implementazione di Desktop remoto di Windows 7, Windows Server 2008 e Windows Server 2008 R2 (oltre che di Windows XP e di Windows Server 2003): Vulnerabilità in Desktop remoto può esporre ad attacchi simili a WannaCry.
Il problema (contraddistinto con l’identificativo CVE-2019-0708) è davvero critico perché utenti remoti, senza effettuare alcun tipo di autenticazione, possono eseguire codice nocivo sulla macchina: basta che la porta sulla quale è in ascolto in server di Desktop remoto (di solito TCP 3389) sia esposta sull’interfaccia WAN e raggiungibile dall’IP pubblico.
La patch correttiva è stata rilasciata da Microsoft lo scorso 14 maggio e tutti gli utenti di Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Server 2003 e Windows XP sono invitati ad applicarla quanto prima, soprattutto adesso che cominciano a diffondersi i codici exploit per sfruttarla.
Trattandosi di una falla wormable, chi non utilizzasse alcun firewall (hardware o software) per filtrare il traffico diretto verso le macchine Windows vulnerabili potrebbe ritrovarsi il singolo sistema e quelli della LAN improvvisamente vittime di aggressione.
Al codice exploit sin qui messo a punto è stato assegnato il nome di BlueKeep e le prime conferme sono arrivate dai ricercatori di Zerodium che hanno spiegato come l’attacco permetta di acquisire i privilegi SYSTEM sulla macchina remota e di eseguire istruzioni di qualunque genere.
We've confirmed exploitability of Windows Pre-Auth RDP bug (CVE-2019-0708) patched yesterday by Microsoft. Exploit works remotely, without authentication, and provides SYSTEM privileges on Windows Srv 2008, Win 7, Win 2003, XP. Enabling NLA mitigates the bug. Patch now or GFY!
— Chaouki Bekrar (@cBekrar) 15 maggio 2019
Molti altri ricercatori hanno però già messo a punto codici exploit perfettamente funzionanti. Conferme sono arrivate dall’esperto di sicurezza Valthek che, vista la gravità del problema, ha preferito non condividere alcun dettaglio tecnico.
I get the CVE-2019-0708 exploit working with my own programmed POC (a very real dangerous POC).This exploit is very dangerous. For this reason i don´t will said TO ANYBODY OR ANY ENTERPRISE nothing about it. You are free of believe me or not,i dont care.https://t.co/o7wwEazgK0
— Valthek (@ValthekOn) 18 maggio 2019
A Valthek ha fatto eco Christiaan Beek, uno dei principali ingegneri di McAfee, e gli sviluppatori di Kaspersky hanno dichiarato di essere già al lavoro per bloccare i tentativi di attacco con le loro soluzioni software.
A questo indirizzo un attacco dimostrativo sferrato a una macchina virtuale di test ospitata sulla piattaforma Any.run della quale abbiamo parlato nell’articolo Controllare programmi prima di eseguirli con Any.Run.