giovedì 25 luglio 2019

Vulnerabilità dell'RDP BlueKeep: individuata botnet miner in cerca di host vulnerabili


Ricordate BlueKeep, la vulnerabilità critica nell'RDP di Windows così grave da aver indotto Windows a rilasciarne la patch anche per versioni obsolete del sistema operativo Microsoft non più coperte dal supporto. 

Watchbog in breve
In brevissimo si tratta di una botnet interamente dedicata al mining di criptovaluta su dispositivi infetti zombie. Ne sono in circolazione diverse versioni, la quasi totalità delle quali pensate per attaccare e infettare server Linux. La scoperta di una nuova versione con intergrato BlueKeep è la prova lampante del debutto di questo bot nel mondo Windows. 

BlueKeep in Breve
Alla fine del mese di Maggio i ricercatori di sicurezza registrano un vero e proprio picco di scansioni di porte con servizi RDP in esecuzione tramite il circuito TOR in cerca di bersagli da colpire. In quei giorni Microsoft rilasciava un update di sicurezza urgente per la vulnerabilità CVE-2019-0708, di livello critico: infatti la falla permette la creazione di malware con funzionalità worm e può consentire ad un attaccante di eseguire codice da remoto e prendere il controllo del sistema. Se dovessimo azzardare un paragone, siamo di fronte ad un exploit  simile a quello (parliamo di EternalBlue) che consentì una diffusione di livello globale al famigerato ransomware WannaCry nel 2017. 

Windows, data la gravità della falla, è corsa velocemente ai ripari, come dicevamo, approntando un aggiornamento per risolvere il bug, anche per sistemi operativi obsoleti come Windows XP: il timore infatti, dato il potenziale della falla in oggetto, era che i cyber criminali potessero approntare un exploit kit ad hoc per sfruttare la falla e prendere possesso di molteplici sistemi grazie alle funzionalità worm, che garantiscono la possibilità di spostarsi lateralmente nelle reti (quindi di diffondersi ai pc nella stessa rete senza alcun interazione degli utenti). 


Le paure si concretizzano: BlueKeep in uso in attacchi reali
Qualche giorno fa è stata individuata una variante del malware Watchbog che scansiona macchine in cerca di sistemi operativi Windows vulnerabili all'exploit BlueKeep. Le varianti precedenti di questo malware colpivano esclusivamente server Linux: l'aggiunta di BlueKeep fa pensare che gli attaccanti stiano preparando una lista di sistemi vulnerabili da colpire in un futuro prossimo oppure da rivendere per profitto a terze parti. 

Il modulo di scansione BlueKeep di WatchBog
Lo scanner BlueKeep integrato in WatchBog altro non è che una parte dello scanner PoC (proof of concept - ovvero una bozza di progetto) sviluppato dal ricercatore zerosum0x0 per tracciare la vulnerabilità CVE-2019-0708. Una volta lanciato sulla macchina infetta, lo scanner BlueKeep di WhatcBog inizierà a testare tutti gli indirizzi IP contenuti in una lista inviata al malware direttamente dal proprio server di comando e controllo: la verifica della lista di IP avviene in cerca di servizi RDP Windows attivi sulla porta  TCP 3389.

La ricerca di host vulnerabili a BlueKeep

Terminato il processo di scansione, Watchbog invia la lista degli host risultati vulnerabili al server di comando e controllo in forma di stringhe di dati esadecimali criptate con RC4. 

Misure di Mitigazione di BlueKeep
"Quando esplose il caso WannaCry" commenta Alessandro Papini, esperto di sicurezza IT e presidente di Accademia italiana Privacy "i grandi vendor, l'intera comunità IT furono presi del tutto contropiede. Per quanto la patch per EternalBlue (l'exploit alla base dell'impressionante virulenza di WannaCry N.d.R) fosse già stata pubblicata PRIMA dell'inizio del più grave attacco ransomware della storia, pochissimi erano risultati i sistemi patchati e gli stessi vendor non si erano preoccupati più di tanto di consigliare o approntare update specifici. Un terribile errore: fu solo grazie al brillante escamotage di un singolo ricercatore, che inventò un "server switch" che Wannacry fu arrestato"

"Memori di questa lezione," prosegue Papini "i grandi vendor sono corsi ai ripari rilasciando alert e la patch ancora prima che questo nuovo exploit fosse rintracciato in uso in attacchi reali. Chiudere le porte in faccia ai cyber criminali prima che possano varcare la soglia dei nostri sistemi è compito di tutti coloro che navigano in Internet, anche garantendo sistemi ben protetti e non vulnerabili. Le botnet si combattono anche così". 

Quindi riproponiamo alcune utili informazioni riguardanti BlueKeep e le misure di mitigazione.

1. BlueKeep, il bug dell'RDP: ecco come scoprire se un host è vulnerabile >> https://bit.ly/2ZlPvKn

2. Le patch sono scaricabili ai seguenti indirizzi:

3.  Le linee guida di Microsoft per la vulnerabilità CVE-2019-0708

Nessun commento:

Posta un commento