Vulnerabilità BlueKeep prese di mira per attaccare server di Desktop remoto

Un gruppo di ricercatori ha confermato che sono iniziati i primi attacchi su vasta scala nei confronti dei server di Desktop remoto non protetti mediante l’installazione delle patch di sicurezza che Microsoft ha cominciato a distribuire da maggio 2019.
Kevin Beaumont e i tecnici di MalwareTech si sono accorti ieri che alcuni honeypot, ovvero sistemi appositamente allestiti per rilevare tempestivamente la diffusione di nuove minacce, hanno cominciato ad andare in crash, a riavviarsi e ad essere infetti con componenti dannosi. In molti casi le macchine sono state compromesse con la successiva installazione di miner di crittomonete (Monero in questo caso).

Gli esperti confermano quindi che le vulnerabilità battezzate BlueKeep e presenti nell’implementazione del protocollo Microsoft RDP cominciano ad essere sfruttate per attacchi veri e propri.

Le macchine che possono essere bersaglio di aggressioni sono quelle che espongono in rete la porta usata dal server di Desktop remoto (generalmente la porta 3389) e sulle quali non sono state installate le patch correttive rilasciate da Microsoft. Chi avesse installato le patch rilasciate da Microsoft fino ad ottobre 2019 è al sicuro, scongiurando non solo l’esecuzione di codice in modalità remota ma anche eventuali attacchi DoS (Denial of Service).

Strumenti software come quelli citati nell’articolo Come cercare i sistemi che usano una versione vulnerabile di Desktop remoto aiutano a capire quali macchine non sono al sicuro e che possono quindi essere bersaglio di attacchi.

In generale, tuttavia, indipendentemente dall’avvenuta installazione degli aggiornamenti di sicurezza, è bene:

1) Evitare di esporre sull’IP pubblico la porta 3389 o qualunque altra porta usata dai server di Desktop remoto.
2) Se la porta 3389 dovesse essere raggiungibile sull’IP pubblico, impostare una o più regole lato firewall per limitare gli indirizzi client autorizzati a tentare la connessione (approccio utile se si utilizzassero IP pubblici di tipo statico per collegarsi in modalità remota al server RDP). Attenzione comunque a non commettere qualche errore e a non restare “chiusi fuori” con l’impossibilità di amministrare la macchina da remoto.
3) Non esporre alcuna porta sull’IP pubblico e configurare un server VPN (da mantenere sempre aggiornato con le eventuali patch di sicurezza via a via rilasciate) per connettersi a distanza in modo sicuro e usare (anche) il server di Desktop remoto.

Nel caso del codice capace di sfruttare le falle BlueKeep che è stato appena scoperto, i tecnici hanno potuto verificare l’utilizzo del bug di sicurezza per disporre il caricamento e l’esecuzione di uno script PowerShell malevolo che a sua volta scaricata un secondo PowerShell egualmente codificato (per sottrarsi all’analisi di molteplici motori di scansione antimalware). Il miner per la crittovaluta Monero viene poi scaricato e installato sul sistema preso di mira (attualmente viene correttamente riconosciuto solo da un numero limitato di motori antivirus).

Blog post on how I discovered mass exploitation of BlueKeep from a kernel dump of a crashed system. https://t.co/2tLdLNosYt

— MalwareTech (@MalwareTechBlog) November 3, 2019

Al momento le vulnerabilità di Desktop remoto sembrano sfruttate su vasta scala ma non si registra ancora l’attività di worm e quindi la diffusione automatica delle minacce.
Fondamentale però controllare attentamente la configurazione dei propri sistemi e applicare le patch di sicurezza mensili rilasciate fino ad oggi da parte di Microsoft.