Ransomware: Exploração Bluekeep
Foi confirmado nesta segunda-feira (04/11/19) um ataque em
massa a níveis globais de um ransomware que se aproveita da falha bluekeep para
invasão de sistemas Microsoft Windows e posteriormente realiza a criptografia
total dos dados pedindo um resgate para decodificação dos arquivos. A situação
é semelhante ao ocorrido em maio de 2017 quando o Ransomware Wannacry causou
danos a diversas empresas ao redor do mundo, este artigo explica o ataque
http://labs.siteblindado.com/2017/05/explicando-o-ransomware-wannacrywcry.html.
Bluekeep
A vulnerabilidade Bluekeep que possui patch lançado pela
Microsoft no último mês de Maio, tem por finalidade explorar solicitações
específicas ao serviço de RDP (Remote Desktop Protocol) culminando em uma RCE
(Remote Code Execution) quando o atacante ganha acesso à linha de comando da
máquina alvo.
A CVE-2019-0708
(https://www.cvedetails.com/cve/CVE-2019-0708/) classifica a vulnerabilidade
como gravíssima e de alta probabilidade de exploração.
“O BlueKeep é considerado uma ameaça tão séria que, desde
sua descoberta, a Microsoft e até as agências governamentais [NSA e GCHQ]
incentivam continuamente os usuários e administradores do Windows a aplicar
patches de segurança antes que os hackers se apoderem de seus sistemas. Algumas
empresas e pesquisadores individuais de segurança cibernética que desenvolveram
com sucesso uma exploração totalmente funcional da vulnerabilidade BlueKeep se
comprometeram a não divulgá-la para um bem maior - especialmente porque quase 1
milhão de sistemas foram considerados vulneráveis mesmo um mês após o
lançamento dos patches.” (Fonte:
https://thehackernews.com/2019/11/bluekeep-rdp-vulnerability.html)
Na imagem, um resgate é solicitado em criptomoedas cujo
número não é especificado (exigindo contato por e-mail para conhecê-lo) e
também alerta que ainda não existe uma ferramenta capaz de decifrar o conteúdo
criptografado pelo ransomware. (Fonte:
https://www.adslzone.net/2019/11/04/bluekeep-ransomware-cadena-ser/)
Alguns dos IPs e hashes referentes ao ataque são listados
abaixo. É interessante para as equipes de infraestrutura das empresas
cadastrarem este tipo de informação em seus antivírus e firewalls para que eles
sejam capazes de detectar estas assinaturas em caso de infecção:
Hashes-256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 e IPs identificados
http://109.176.117.11/362611986ed4/page
http://109.176.117.11:8000/
http://109.176.117.11:8080/362611986ed4/page
http://109.176.117.11/
109.176.117.11
http://5.100.251.106:443/64.exe
http://5.100.251.106:52057/
http://5.100.251.106
5.100.251.106
http://5.100.251.106
5.100.251.106
http://5.100.251.106:52057
5.100.251.106
http://5.100.251.106:443/64.exe
5.100.251.106
http://5.100.251.106:443/sync.pif
5.100.251.106
http://5.100.251.106/sync32.pif
5.100.251.106
Mitigação
A priori, recomendações de boas práticas de segurança são:
desativar o serviço RDP quando desnecessário e bloquear a porta 3389 por um
firewall.
Segundo boletim da Microsoft, a aplicação do KB4500331
(Windows Server 2003+) KB4499180(Windows Vista+) mitiga a vulnerabilidade e já
é disponibilizado nos pacotes cumulativos de atualizações.
Referências:
https://thehackernews.com/2019/11/bluekeep-rdp-vulnerability.html
https://www.adslzone.net/2019/11/04/bluekeep-ransomware-cadena-ser/
https://www.virustotal.com/gui/file/8a87a1261603af4d976faa57e49ebdd8fd8317e9dd13bd36ff2599d1031f53ce/community
0 comentários: