Nonostante Microsoft abbia rilasciato le patch correttive per le vulnerabilità scoperte nella funzionalità di Desktop remoto (protocollo RDP) a maggio e ad agosto 2019, si calcola che siano ancora decine di migliaia le macchine vulnerabili e aggredibili a distanza.
All’inizio di novembre sono stati registrati i primi attacchi facenti leva sulla vulnerabilità battezza BlueKeep e nel nostro articolo Desktop remoto: gli attacchi che sfruttano le vulnerabilità BlueKeep sono in aumento abbiamo ricordato quali sono le patch da installare nel più breve tempo possibile.
La minaccia più importante grava ovviamente su quei sistemi che non sono aggiornati con le patch Microsoft e hanno la porta RDP 3389 (o altre) di Desktop remoto esposta sull’indirizzo IP pubblico (ad esempio perché non vengono usati meccanismi NAT, perché non è configurata una protezione firewall efficace, perché non si usano policy “ad hoc” o connessioni sicure via VPN). Anche lasciare un server di Desktop remoto non aggiornato, seppur in ambito locale, non è consigliabile, soprattutto nelle imprese di più grandi dimensioni.
Oggi ESET ha distribuito uno scanner gratuito – ESET BlueKeep (CVE-2019-0708) Detection Tool – che consente di controllare se il singolo sistema Windows in uso sia protetto o meno nei confronti della vulnerabilità BlueKeep.
Per usare l’applicazione basta aprire il prompt dei comandi di Windows e digitare esetbluekeepchecker
oppure fare semplicemente doppio clic sull’eseguibile, una volta scaricato in locale.
In alternativa è possibile usare lo scanner sviluppato da Robert Graham e scaricabile da questa pagina su GitHub oppure quello predisposto da NCC Group, prelevabile da qui.
Sia rdpscan che BKScan – gli ultimi due tool gratuiti ai quali abbiamo fatto riferimento – consentono anche di effettuare una scansione di interi gruppi di IP, locali o remoti, alla ricerca di eventuali sistemi vulnerabili.
Negli ultimi tempi diversi malware che effettuano il mining di crittomonete (cryptomining) hanno iniziato a includere scanner automatizzati capaci di rilevare i sistemi vulnerabili a BlueKeep. Si tratta di un segno evidente: i criminali informatici hanno praticamente pronto il codice exploit per aggredire le macchine sprovviste delle patch Microsoft, sia con attacchi mirati che su scala più ampia.