ALERTA: Vulnerabilidade BlueKeep (CVE-2019-0708) é explorada em ataque em massa

A Microsoft liberou um patch para o BlueKeep em maio, mas ainda há um grande número de usuários vulneráveis. Organizações governamentais de segurança em todo o mundo – incluindo a NSA nos EUA, o BSI na Alemanha e o National Cyber Security Center na Grã-Bretanha – já destacaram a importância de se aplicar os patches do BlueKeep, possivelmente temendo um novo episódio como o do WannaCry. Deixar sistemas vulneráveis pode ser perigoso e caro para empresas.

Os cibercriminosos são conhecidos por atacar até mesmo vulnerabilidades já com patch disponível, apostando no fato de que muitas empresas não os aplicam logo que são publicados. Um relatório do Rapid7 sobre exploits do BlueKeep ressalta que houve um aumento na atividade de protocolo remoto de desktop (RDP) depois da divulgação do BlueKeep.

Confira algumas das boas práticas que ajudam empresas e usuários a reduzir sua exposição ao BlueKeep e outros similares:

Atualize os sistemas e instale os patches oficiais (ou virtuais em caso de sistemas legados ou em EOS);
Restrinja ou proteja o uso de desktop remoto. Por exemplo, bloquear a porta 3389 (ou desabilitá-la quando fora de uso) pode evitar que ameaças iniciem conexões a sistemas por trás do firewall;
Ative a autenticação em nível de rede (NLA) para evitar que invasores sem autenticação se utilizem do BlueKeep. Isso pode ser configurado no Windows 7 e no Server 2008 (incluindo a versão R2);
Faça valer o princípio do mínimo privilégio. Ao usar mecanismos como criptografia, políticas de bloqueio e acesso hierarquizado, você estabelece novas camadas de segurança contra ataques e ameaças que envolvam a violação de desktops remotos.
Confira o alerta oficial da Trend Micro publicado em maio de 2019 sobre a vulnerabilidade.

As soluções Trend Micro™ Deep Security™ and Vulnerability Protection defendem os usuários e sistemas contra ameaças que visem ao CVE-2019-0708 por meio da seguinte regra de Deep Packet Inspection (DPI):

1009749 – Microsoft Windows Remote Desktop Services Remote Code Execution Vulnerability

Já os usuários do Trend Micro™ TippingPoint™ são protegidos contra os perigos ligados à exploração do CVE-2019-0708 pelo filtro MainlineDV:

35296: RDP: Microsoft Remote Desktop Services Negotiation Request Without CredSSP

Quando a Microsoft lançou o primeiro patch em anos para o Windows XP em maio de 2019, já era de se imaginar que algo grande estava se formando. Essa era uma vulnerabilidade do Windows que, segundo especialistas em segurança, poderia ter um impacto semelhante ao WannaCry de 2017. As versões do Windows Server 2003, XP*, Vista, 7, Server 2008 e 2008 R2 que não tiveram o patch aplicado estão vulneráveis à BlueKeep (CVE-2019-0708), e neste final de semana foi confirmado que um ataque em massa de exploração desta vulnerabilidade está em andamento. Leia este artigo com informações gerais sobre a vulnerabilidade.
Desde maio de 2019, a Trend Micro desenvolveu algumas regras e filtros com base em nossa própria análise de uma possível exploração para proteção adicional. Ainda assim, recomendamos aos clientes que apliquem os patches da Microsoft sempre que possível e/ou apliquem as outras estratégias de mitigação recomendadas, como ativar o NLA e desativar serviços e conexões RDP não críticos.

Fonte: Trend Micro

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *