Los primeros ataques de BlueKeep provocan nuevas advertencias


La infame vulnerabilidad ha sido explotada para una campaña de minería de criptomonedas, pero aún pueden existir ataques más dañinos.

Desde que se descubrió hace seis meses, el Vulnerabilidad de BlueKeep ha tenido (no solo) a la comunidad de ciberseguridad preocupada por la inminente WannaCryptor-estilo ataques. A principios de noviembre, Microsoft junto con los investigadores de seguridad Kevin Beaumont y Marcus Hutchins arrojar luz sobre la primera campaña maliciosa que tenía como objetivo explotar la falla crítica de ejecución remota de código (RCE). Los ataques apuntaron a sistemas vulnerables de Windows sin parches para instalar software de minería de criptomonedas, pero estaban muy lejos del daño causado por WannaCryptor también conocido como WannaCry en mayo de 2017.

Seguido como CVE-2019-0708, BlueKeep se encontró en un componente de Windows conocido como Servicios de escritorio remoto. Afecta a las máquinas que ejecutan versiones sin parches de Windows XP, Windows Server 2003, Home windows Vista, Home windows Server 2008, Windows 7 y Home windows Server 2008 R2. Desafortunadamente, todavía hay una gran cantidad de sistemas que no se han parcheado, a pesar de que Microsoft lanzó el parche el 14 de mayoth.

Las primeras instancias de la campaña de minería de monedas datan del 23 de octubre.rd. Tras una inspección adicional por parte de investigadores de Microsoft, encontraron que una campaña anterior que ocurrió en septiembre usó un implante principal que contactó comando y command (C&C) servidores como el ataque de octubre. Las máquinas en varios países se vieron afectadas, incluyendo Francia, Rusia, Italia, España, Ucrania, Alemania y el Reino Unido.

Los atacantes han usado un exploit BlueKeep que fue publicado por el equipo de Metasploit en septiembre. Primero barrerían Net para máquinas con servicios vulnerables de RDP (Protocolo de escritorio remoto), luego desplegarían el exploit e instalarían el software program de minería de criptomonedas.

El exploit es inestable como se puede ver por los múltiples bloqueos relacionados con RDP registrados que fueron informados por las señales de seguridad de Microsoft. Los accidentes también fueron la razón por la cual los ataques fueron descubiertos en octubre por el investigador de seguridad Kevin Beaumont después de él reportó que su honeypots estaban chocando

Si bien el ataque puede parecer decepcionante teniendo en cuenta la cobertura de los medios que ha recibido la vulnerabilidad BlueKeep, lo peor aún puede estar en la tienda. La vulnerabilidad es «wormable», lo que significa que futuras vulnerabilidades podrían usarla para propagar malware dentro o fuera de las redes de manera identical a lo que se vio con WannaCryptor.

La gravedad de la situación no debe subestimarse, ya que Microsoft emitió tres alertas desde mayo e instó a sus usuarios a parchear y actualizar máquinas vulnerables. A principios de este año, la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y la Agencia de Seguridad de la Ciberseguridad e Infraestructura (CISA) han emitido sus propias advertencias raras. Recientemente el Centro de Seguridad Cibernética de Australia de la Dirección de Señales de Australia (ACSC) También ha hecho eco de las advertencias e instó a la vigilancia.








Source link