BlueKeep Assaults visto en la naturaleza!

CVE-2019-0708, conocido popularmente como BlueKeep, es una vulnerabilidad de autenticación previa RDP que permite al atacante comprometer un sistema susceptible sin la interacción del usuario. Este exploit también se puede eliminar, lo que significa que se puede propagar a otros sistemas vulnerables de manera similar a como el malware WannaCry se extendió por todo el mundo en 2017. Curiosamente, los productos de atención médica como radiografía, rayos X y otras aplicaciones de imágenes de varios proveedores de atención médica que se ejecutan en El sistema operativo Windows también se ve afectado por el exploit BlueKeep.

Desde el momento en que Microsoft corrigió esta vulnerabilidad, múltiples variantes que la explotaron han surgido públicamente. En septiembre, se agregó código de explotación para esta vulnerabilidad en el marco de explotación conocido como Metasploit. Lo más probable es que los kiddies de script salten sobre este módulo Metasploit para llevar a cabo ataques a gran escala en hosts vulnerables con puerto RDP abierto a la red. Recientemente, pocas fuentes informaron que los atacantes están explotando esta vulnerabilidad para colocar minería de criptomonedas Monero en las máquinas vulnerables sin parches. También vimos un aumento en las detecciones de estos ataques en nuestra telemetría. Aquí está la distribución inteligente de los ataques BlueKeep que bloqueamos en los últimos 6 meses.

Fig. 1: Distribución inteligente de ataques BlueKeep bloqueados por Swift Recover en los últimos 6 meses.

Teniendo en cuenta la importancia de esta vulnerabilidad, se recomienda parchearla de inmediato. Si la aplicación de parches no es una opción por alguna razón, se recomienda a los usuarios que sigan estas mejores prácticas relacionadas con RDP:

  1. Deshabilite el acceso RDP desde fuera de la red de la organización / empresa.
  2. Para las máquinas alojadas en la nube, permita el acceso RDP solo a las IP incluidas en la lista blanca.

Quick Recover bloquea los ataques para este exploit con las siguientes firmas IPS:

  • Vulnerabilidad de RCE en servicios de escritorio remoto CVE-2019-0708
  • RDP / CVE-2019-0708.UN! SP.34961