La CVE-2019-0708 (qui qualche dettaglio), conosciuta come vulnerabilità BlueKeep, è una vulnerabilità pre-autenticazione del Remote Desktop Protocol: se sfruttata, può consentire ad un attaccante di compromettere il sistema senza il bisogno di alcuna interazione da parte dell'utente. Questo exploit è anche "wormable", ovvero può diffondersi in altri sistemi vulnerabili come fosse un worm: questo problema non è affatto nuovo, la propagazione globale del ransomware WannaCry nel 2017 fu conseguenza proprio di un sistema molto simile di diffusione. E' interessante notare che BlueKeep, che affligge i sistemi operativi Windows, riguarda anche sistemi "inaspettati": ad esempio questa vulnerabilità influisce anche su servizi sanitari come radiografie, raggi-x ecc.. perchè i software di imaging usati per le immagini diagnostiche in molteplici paesi del mondo vengono eseguiti su sistemi Windows. 

Nonostante questa vulnerabilità sia stata patchata da Microsoft parecchi mesi fa, sono numerosi i cosiddetti Proof of Concept (bozza di codice) che girano online per sfruttarla. A Settembre, ad esempio, un codice di exploit di questa vulnerabilità fu aggiungo al popolare framework per exploit Metasploit: il tentativo, probabilmente, è quello di poter eseguire attacchi su larga scala contro host vulnerabili che hanno la porta RDP aperta su Internet. Vi sono anche report recenti che riportano come BlueKeep venga sfruttata su macchine vulnerabili per eseguire miner di criptovaluta, sopratutto Monero. 

Abbiamo riscontrato un aumento degli attacchi collegati a BlueeKeep anche nella nostra telemetria: ecco la distribuzione degli attacchi di questo tipo che abbiamo bloccato negli ultimi 6 mesi, suddivisa per sistemi operativi. 

Dato il livello di gravità di questa vulnerabilità (il livello assegnato è critico, il più grave nella scala con la quale sono classificate le vulnerabilità) è assolutamente consigliabile installare la patch relativa a BlueKeep prima possibile.

Oltre all'installazione della patch, è consigliabile:

Quick Heal blocca tentativi di attacco con questo exploit con le seguenti firme IPS: