I ricercatori ESET raccomandano di bloccare le connessioni di Desktop Remoto via Internet per evitare danni futuri da BlueKeep e altri exploit.
ESET ha appena rilasciato uno strumento gratuito (CVE-2019-0708) per verificare se un computer Windows è protetto contro le minacce che sfruttano la vulnerabilità BlueKeep. Gli attacchi brute force e l’exploit BlueKeep utilizzano connessioni dirette sul protocollo Desktop Remote Protocol (RDP) e consentono ai criminali di compiere attività malevole diffuse che utilizzano in modo improprio i server della vittima.
“Sebbene la vulnerabilità di BlueKeep non sia stata impiegata in campagne su larga scala, siamo ancora solo nelle prime fasi del suo ciclo di sfruttamento”, spiega Aryeh Goretsky, noto ricercatore ESET. “Resta il fatto che molti sistemi non sono ancora adeguatamente aggiornati e ciò potrebbe comportare lo sviluppo di un exploit in grado di sfruttare completamente la vulnerabilità”, aggiunge.
Il protocollo RDP consente a un computer di connettersi a un altro su una rete per poter utilizzare quest’ultima da remoto. Negli ultimi due anni, ESET ha notato un numero crescente di attacchi in cui gli aggressori si sono connessi da remoto via Internet a un server Windows tramite RDP. I criminali che hanno effettuato l’accesso come amministratore del computer possono quindi eseguire una varietà di azioni dannose, tra cui il download e l’installazione di programmi sul server, la disabilitazione del software di sicurezza o l’esfiltrazione dei dati. Se da una parte gli scopi dei criminali possono variare notevolmente, dall’altra due delle pratiche più comuni sono l’installazione di programmi di estrazione di monete al fine di generare criptovaluta e l’installazione di ransomware al fine di estorcere denaro dall’azienda.
“Gli attacchi effettuati via RDP non sono stati frequenti, ma in costante aumento e sono stati al centro di numerosi consigli da parte delle autorità negli Stati Uniti, nel Regno Unito, in Canada e in Australia, solo per citarne alcuni “, afferma Goretsky. “L’arrivo di BlueKeep ha creato opportunità per ulteriori attacchi. Questa vulnerabilità potrebbe diventare wormable, il che significa che un attacco potrebbe diffondersi automaticamente attraverso le reti senza alcun intervento da parte degli utenti “, avverte Goretsky.
Microsoft ha assegnato alla vulnerabilità BlueKeep il livello di gravità più elevato, Critico, nelle sue linee guida pubblicate per i clienti e, nel National Vulnerability Database del governo degli Stati Uniti, la voce CVE-2019-0708 è classificata come 9,8 su 10.
“Gli utenti dovrebbero interrompere la connessione diretta ai propri server su Internet utilizzando RDP. È certamente comprensibile come ciò possa creare problematiche per alcune aziende, tuttavia, con il supporto che a gennaio 2020 termina sia per Windows Server 2008 che per Windows 7, avere computer che eseguono questi programmi rappresenta un rischio per le aziende. Il miglioramento di tale condizione dovrebbe infatti già essere tra le priorità di ogni azienda”, raccomanda Goretsky.
Per maggiori dettagli sulla vulnerabilità BlueKeep, sullo strumento di valutazione ESET e sui tipi di attacchi su Remote Desktop Protocol, è possibile consultare il nostro blog.
Lascia un commento