Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

BlueKeep, la vulnerabilità che permette di “bucare” un PC Windows anche senza credenziali: i dettagli

BlueKeep è la vulnerabilità wormable che consente di aprire una falla in una LAN per consentire ad un malware di propagarsi a tutti i PC connessi. Microsoft ha già rilasciato la patch, ma esisterebbe un exploit per sfruttarla e ricreare uno scenario di attacco devastante come quello di WannaCry. Che c’è da sapere e come mettersi al riparo

27 Mag 2019

Paolo Tarsitano


È stata soprannominata BlueKeep la vulnerabilità wormable di tipo RCE (Remote Code Execution) identificata come CVE-2019-0708 che interessa i Remote Desktop Services di Windows e che potrebbe consentire ai criminal hacker di accedere ad una macchina vulnerabile anche senza autenticazione.

La vulnerabilità, classificata come critica, interessa le vecchie versioni di Windows e, come dicevamo, è di tipo wormable con pre-authentication: in parole semplici, potrebbe essere sfruttata come punto di ingresso ad una rete locale per consentire poi ad un malware di propagarsi da un computer vulnerabile all’altro senza richiedere alcuna interazione da parte degli utenti.

Si tratta, quindi, di una falla nei sistemi operativi Microsoft che potrebbe portare ad uno scenario di attacco devastante simile a quello che, nel 2017, ha portato alla diffusione del temibile ransomware WannaCry (che, lo ricordiamo, sfruttava l’exploit EternalBlue).

Teoricamente, la nuova vulnerabilità potrebbe rapidamente compromettere milioni di macchine in un breve periodo di tempo.

Un eventuale sfruttamento della vulnerabilità consente a un attaccante remoto di eseguire codice arbitrario sul sistema di destinazione. A quel punto potrebbe installare programmi per tracciare le attività degli utenti, cancellare dati e creare un account utente con privilegi elevati per prendere il controllo completo delle macchine colpite.

BlueKeep: i pirati starebbero sfruttando la vulnerabilità

In occasione del Patch Tuesday di maggio, Microsoft ha rilasciato una patch per la vulnerabilità BlueKeep che, in particolare, corregge il modo in cui i Remote Desktop Services gestiscono le richieste di connessione.

Gli aggiornamenti per le recenti versioni di Windows sono disponibili nella Microsoft Security Update Guide e quindi verranno scaricati e installati mediante gli Aggiornamenti automatici del sistema operativo.

Gli utenti che ancora usano Windows XP e Windows Server 2003 dovranno invece scaricare e installare manualmente la patch per la versione del proprio sistema operativo così come indicato nel bollettino di sicurezza KB4500705.

È dunque opportuno procedere il prima possibile con l’aggiornamento del proprio sistema operativo.

Anche perché, a quanto pare, i criminal hacker sarebbero riusciti a realizzare un exploit in grado di sfruttare la vulnerabilità BlueKeep.

Per avvalorare questa ipotesi e richiamare l’attenzione degli utenti sulla pericolosità della vulnerabilità BlueKeep, i ricercatori dei laboratori di sicurezza McAfee hanno realizzato un Proof of Concept (PoC) in cui mostrano come sia relativamente semplice, sfruttando la falla, eseguire da remoto codice arbitrario sulla macchina della vittima (nel caso particolare, un sistema Windows XP) per avviare la Calcolatrice.

I criminal hacker, ovviamente, non sarebbero così gentili da limitarsi ad avviare semplici applicazioni sui computer delle loro vittime.

Come mitigare i rischi di un nuovo WannaCry

I sistemi operativi interessati dalla nuova vulnerabilità BlueKeep sono i seguenti:

  • Windows Server 2003
  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 R2

Gli utenti che usano Windows 8 e Windows 10 non sono invece interessati da questa vulnerabilità in quanto le nuove versioni del sistema operativo adottano sistemi di mitigazione dei malware wormable basata sulla tecnologia Network Level Authentication (NLA) che richiede un’autenticazione prima che la vulnerabilità possa essere sfruttata.

Gli amministratori di sistema che gestiscono sistemi mission-critical come postazioni ATM o sistemi ICS (Industrial Control Systems) che non è possibile riavviare per applicare la patch possono utilizzare il tool Micropatch rilasciato da 0patch proprio per correggere la vulnerabilità BlueKeep.

Microsoft, inoltre, consiglia a tutti gli utenti dei sistemi operativi Windows Server di bloccare la porta TCP 3389 e abilitare l’autenticazione a livello di rete per impedire a qualsiasi aggressore non autenticato di sfruttare questa nuova vulnerabilità wormable.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5