Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Vulnerabilidade do Windows BlueKeep: Você já viu esse filme

Vulnerabilidade BlueKeep, no RDP, pode se tornar um malware controlado remotamente que pode afetar milhões de pessoas em todo o mundo
Emilia Bertolli
3 minuto de leitura
Publicado 19 de Julho de 2019
Ultima atualização 29 de Junho de 2021

É uma história familiar de segurança de dados: software Windows com patches insuficientes, vulnerabilidades de segurança ocultas e hackers que sabem como explorar essas falhas. Mas, se  o patche envolver o protocolo RDP (Remote Desk Protocol) do Windows, como ocorreu com a vulnerabilidade BlueKeep descoberta recentemente, você acha que as empresas teriam aprendido o primeiro mandamento da infosec: não expor o RDP na internet pública?

Mesmo uma rápida pesquisa no Google sobre “vulnerabilidade RDP” revela que diversas falhas significativas foram encontradas nos últimos anos.

Entre o BlueKeep e o EternalBlue

Em maio, a Microsoft divulgou uma nova vulnerabilidade (CVE-2019-0708) no RDP e informou as empresas a corrigi-lo o mais rapidamente possível. Apelidado de BlueKeep, essa falha do RDP deixou a empresa preocupada o suficiente para emitir um segundo aviso.

O que deixou a Microsoft preocupada?

Essa  vulnerabilidade mais recente do RDP pode permitir que hackers executem o código remotamente no nível do sistema sem precisar autenticar. Em outras palavras, qualquer sistema Windows (do XP ao Windows 7) com uma porta RDP exposta é alvo em potencial.

Para tornar as coisas ainda mais complicadas, os hackers agora têm à sua disposição o EternaBlue, que pode transformar uma exploração BlueKeep em um vírus flexível que liberaria o ransonware em escala global, semelhante ao NotPetya!

Risco em potencial

O BlueKeep também chamou a atenção do Departamento de Segurança Doméstica (DHS) dos Estados Unidos, que emitiu seu próprio alerta há poucos dias. Isso, logo após os esforços bem-sucedidos do DHS em elaborar e testar uma prova e conceito (PoC) para uma exploração.

Tenha em mente que são necessários recursos técnicos significativos – muito além do que um hacker típico pode ter – para passar de uma falha de segurança para um código malicioso que se aproveite da brecha.

Para tornar as coisas ainda mais confusas, existem falsos BlueKeep PoCs soltos pela internet. Apesar disso, é preciso levar muito a sério o potencial de danos. Até mesmo a NSA afirma que “é provável que seja apenas uma questão de tempo até que o código de exploração remota esteja amplamente disponível para essa vulnerabilidade”.

Mudando um pouco de assunto. Para aqueles que querem brincar de analistas de segurança e definir o potencial de riscos das vulnerabilidades de RDP, familiarize-se com o Shodan, conhecido como o Google dos hackers.

O Shodan verifica a internet em busca de hosts, roteadores, gadgets, coleta informações públicas, vindas de análise de banners e cabeçalhos HTML, mantendo silêncio sobre todas as fontes.

De qualquer forma, basta digitar o IP no Shodan para saber se há alguma porta aberta no seu servidor. Mas o Shodan vai além do exame de empresas específicas e permite que se agregue metadados de segurança.

São milhões de portas vulneráveis, a mair parte dessas portas RDO são encontradas na nuvem (Amazon AWS, Microsoft Azure e Google Cloud). E esses serviços podem ser uma fonte rica de vítimas do Blue Keep.

Mas, além do patch, outros fatores estão envolvidos, incluindo a possibilidade real de que muitas portas RDPs publicamente disponíveis possam não ter um serviço RDP do outro lado – a porta só existe para estar aberta.

Mergulhando na vulnerabilidade BlueKeep

Como pesquisadores de segurança sabem, uma vulnerabilidade nem sempre se traduz em uma exploração. Não é fácil escrever um código, especialmente para uma exploração de RCE ou execução remota de código.

Eles aprenderam que a  versão não corrigida do RDP permite que se tenha acesso a um pedaço da memória do kernel e, em seguida, realize um RCE ou, no mínimo, se quebre o sistema de destino em um ataque do estilo DoS.

Apesar disso, não há um PoC divulgado publicamente, embora haja falsificações. Como mencionei, temos reclamações, entre outros, do DHS e da NSA, de código de exploração real, por isso temos que assumir que hackers mais inteligentes desenvolverão seu próprio código.

Um resumo do que sabemos sobre o CVE-2019-0708 até agora

Sistemas afetados

  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 SR2
  • Windows Server 2003 SR2
  • Windows Vista
  • Windows XP

Potencial de exploração: RCE (Execução Remota de Código) e potencial de worm sem o patch EternalBlue

Número de vítimas em potencial: mais de 1 milhão

Se você está em modo de pânico por estar ouvindo isso pela primeira vez, uma forma de atenuar o problema é desativas a porta 3389 nos firewalls corporativos, instalar os patches de segurança e reativar a porta. Uma outra abordagem é habilitar a autenticação em nível de rede.

O que a Varonis pode fazer por você

Uma abordagem inteligente é ter um modelo de ameaça que possa detectar o ransoware. Se os hackers sempre encontram um meio de entrar, então é preciso uma defesa de backup para identificar e interromper seu objetivo real e travar seus arquivos. Embora seja ótimo saber sobre o malware inspirado na NSA, a Varonis tem uma solução que impede que o próximo ataque derrube seus sistemas. Saiba mais.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento