El CVE-2019-0708 ha generado un gran revuelo por el impacto que ha tenido en la comunidad, múltiples PoCs e investigaciones han salido a la luz, y lo último respecto a este tema es un módulo creado para el popular framework de penetración Metasploit que explota la vulnerabilidad crítica de BlueKeep.
Arkavia también fue participe con su propia investigación por medio de un portal el cual muestra las estadísticas del CVE a nivel nacional de aquellos equipos vulnerables en el momento en que la vulnerabilidad fue publicada.
BlueKeep es un defecto crítico en los servicios de escritorio remoto (RDP) que afecta a Windows XP y 7, así como a Windows Server 2003 y 2008. Microsoft lanzó una solución para el día 14 de mayo, e incluso existe un parche alternativo para aplicar sin necesidad de reiniciar los equipos.
Desarrollado por el ingeniero con nombre en clave Zǝɹosum0x0, el módulo el cual no ha sido lanzado públicamente debido al peligro que representa por la gran cantidad de sistemas sin parchear. Ha sido publicado un video que demuestra una explotación exitosa de una máquina con Windows 2008. Después de usar la herramienta Mimikatz para extraer las credenciales de inicio de sesión del sistema objetivo, logrando control total sobre la máquina.
Zǝɹosum0x0 también desarrolló como colaborador un módulo de escáner de BlueKeep, destinado a verificar si hay hosts vulnerables sin dañarlos, solo de consulta el cual puedes encontrar en el GitHub oficial.
La severidad de este CVE es crítica (9.8 de 10) debido a que la explotación no requiere la interacción del usuario y permite que el malware se propague a sistemas vulnerables. Debido a esta situación, Microsoft emitió dos advertencias llamando a los usuarios a instalar la solución para mitigar BlueKeep.
La NSA (Agencia de Seguridad Nacional) hizo eco de la preocupación de Microsoft en un reciente anuncio, y recomendó a los administradores y usuarios de la red "parchar los Servicios de Escritorio Remoto (RDP) en las versiones desactualizadas de Windows".
Además del riesgo de denegación de servicio, que puede causar pérdidas financieras significativas cuando se dirige a entornos de producción, también existe la posibilidad de realizar ataques de malware.
REFERENCIA
COMENTARIOS