Messo a punto codice exploit per la falla scoperta in Desktop remoto

Si avvicina la possibilità che gruppi di criminali informatici possano cominciare a sferrare attacchi su larga scala sfruttando la vulnerabilità scoperta nelle versioni di Desktop remoto integrate in Windows 7, Windows Server 2008, Windows Server 2008 R2 e nelle precedenti versioni del sistema operativo.

Un gruppo di ricercatori ha già progettato e sviluppato il codice exploit in grado di fare leva sulle vulnerabilità scoperte nell’implementazione di Desktop remoto di Windows 7, Windows Server 2008 e Windows Server 2008 R2 (oltre che di Windows XP e di Windows Server 2003): Vulnerabilità in Desktop remoto può esporre ad attacchi simili a WannaCry.

Il problema (contraddistinto con l’identificativo CVE-2019-0708) è davvero critico perché utenti remoti, senza effettuare alcun tipo di autenticazione, possono eseguire codice nocivo sulla macchina: basta che la porta sulla quale è in ascolto in server di Desktop remoto (di solito TCP 3389) sia esposta sull’interfaccia WAN e raggiungibile dall’IP pubblico.

La patch correttiva è stata rilasciata da Microsoft lo scorso 14 maggio e tutti gli utenti di Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Server 2003 e Windows XP sono invitati ad applicarla quanto prima, soprattutto adesso che cominciano a diffondersi i codici exploit per sfruttarla.

Trattandosi di una falla wormable, chi non utilizzasse alcun firewall (hardware o software) per filtrare il traffico diretto verso le macchine Windows vulnerabili potrebbe ritrovarsi il singolo sistema e quelli della LAN improvvisamente vittime di aggressione.

Al codice exploit sin qui messo a punto è stato assegnato il nome di BlueKeep e le prime conferme sono arrivate dai ricercatori di Zerodium che hanno spiegato come l’attacco permetta di acquisire i privilegi SYSTEM sulla macchina remota e di eseguire istruzioni di qualunque genere.

Molti altri ricercatori hanno però già messo a punto codici exploit perfettamente funzionanti. Conferme sono arrivate dall’esperto di sicurezza Valthek che, vista la gravità del problema, ha preferito non condividere alcun dettaglio tecnico.

A Valthek ha fatto eco Christiaan Beek, uno dei principali ingegneri di McAfee, e gli sviluppatori di Kaspersky hanno dichiarato di essere già al lavoro per bloccare i tentativi di attacco con le loro soluzioni software.

A questo indirizzo un attacco dimostrativo sferrato a una macchina virtuale di test ospitata sulla piattaforma Any.run della quale abbiamo parlato nell’articolo Controllare programmi prima di eseguirli con Any.Run.

Ti consigliamo anche

Link copiato negli appunti