giovedì 13 giugno 2019

BlueKeep, il bug dell'RDP: ecco come scoprire se un host è vulnerabile


Qualche giorno fa abbiamo dettagliato una gravissima vulnerabilità, indicata come critica, presente nei servizi di desktop remoto di Windows: tale vulnerabilità può consentire ad un attaccante di diffondere malware con capacità di propagazione di un worm. E' ritenuta così grave da aver indotto Microsoft a rilasciare la patch anche per sistemi operativi che non sono più coperti dal supporto e dagli update di sicurezza, come Windows XP e Windows Server 2003 (qui sono disponibili le linee guida di Microsoft). 

Questa vulnerabilità, conosciuta appunto come BlueKeep (CVE-2019-0708), riguarda Windows 7, Windows 2008 R2, Windows server 2008, Windows XP e Windows Server 2003. 

Pochi giorni dopo la pubblicazione dei dettagli di questa vulnerabilità, i ricercatori hanno approntato un proof of concept di exploit, dimostrando che tale bug è effettivamente sfruttabile e c'è già traccia di primi tentativi provenienti da cyber attaccanti di produrre un proprio exploit. Nella consapevolezza quindi che questo bug sarà sfruttabile a breve e data l'evidenza che sono pochissimi gli utenti che hanno proceduto all'installazione della patch, Windows ha diramato un secondo alert, sollecitando gli utenti a installare la relativa patch.

Le patch sono scaricabili ai seguenti indirizzi:

Come individuare un sistema Windows vulnerabile

1. RDPScan
Il ricercatore di sicurezza Rob Ghram ha creato un piccolo tool, chiamato RDPScan: basta scaricare l'ultima versione dalla pagina del progetto, quindi eseguire la scansione usando i seguenti comandi:

Scansione singolo host: 

  • rdpscan [ip_address]
  • rdpscan 192.168.1.29
Scansione di un range di indirizzi IP:

  • rdpscan [start_ip_address]-[end_ip_address]
  • rdpscan 192.168.1.29-192.168.1.100
RDPScan esaminerà ciascuno degli indirizzi IP per verificare se la porta 3389 è aperta, determinando così se una macchina è vulnerabile o meno. Il tool renderà, come risultati, Sicuro - Vulnerabile - Sconosciuto.

2. Metasploit FrameWork
Oltre a questo tool, è stato approntato un modulo aggiuntivo per Metasploit. Chi ha Metasploit installato, può scaricare il modulo col seguente comando:

use auxiliary/scanner/rdp/cve_2019_0708_bluekeepCaricato il modulo sarà possibile eseguire la scansione sia di un singolo sistema che delle reti. Sotto un esempio di scansione sull'host 192.168.8.60, che è risultato vulnerabile

Fonte: Bleepingcomputer.com


Nessun commento:

Posta un commento