Microsoft ha pubblicato un alert riguardante il pericolo rappresentato dalla vulnerabilità BlueKeep nell'Agosto 2019. Noi abbiamo dettagliato e reso alcuni utili consigli in questo articolo dello scorso anno, consigliando prioritariamente agli utenti l'installazione immediata della patch. 

Per rinfrescarci la memoria, la vulnerabilità CVE-2019-0708, conosciuta anche come Blueekeep, riguarda le reti con funzionalità di Remote Desktop Protocol (RDP) e consente ad un attaccante di compromettere i sistemi vulnerabili senza l'interazione dell'utente. Dato che è un exploit "wormable", cioè che può garantire ad un malware la diffusione come fosse un worm, si può diffondere facilmente ad altri sistemi vulnerabili: fu questa la "chiave del successo" del temile ransomware WannaCry. Poichè il codice di exploit è pubblico, può essere facilmente sfruttato da varie fonti: nel dark web vi sono molti post che consigliano come usarlo, anche perchè sono ancora molti i sistemi non patchati. 

Nonostante il tempestivo rilascio delle patch, il pericolo  non è affatto sventato. Microsoft ha pubblicato un'altra patch pochi giorni fa, mettendo gli utenti in guardia da altre due nuove vulnerabilità sul modello di BlueKeep,già sfruttate in attacchi reali. Funzionano in maniera simile a Bluekeep, sfruttando le vulnerabilità dell'RDP per eseguire codice dannoso sul sistema infetto. Tuttavia c'è una differenza tra questi exploit e BlueKeep: BlueeKeep funziona solo su vecchie versioni del SO, come Windows XP o Vista, mentre questi nuovi quattro exploit riguardano anche Windows 10. 

Quindi, per quelle configurazioni che usano l'RDP di Windows, è importante installare le patch prima possibile, perchè BlueeKeep e gli exploit correlati stanno mostrando una continua proliferazione. Abbiamo già visto cosa può succedere quando un sistema non patchato viene attaccato con questi exploit: WannaCry ha fatto la storia degli attacchi ransomware.

Poco dopo il primo alert, siamo nel Novembre 2019, Microsoft pubblicò un nuovo alert dopo l'individuazione della prima campagna che utilizzava la vulnerabilità BlueKeep per fare irruzioni nei sistemi non patchati e installare miner di criptovaluta. L'unico aspetto positivo fu che tale campagna non fu così dannosa come previsto: in molti casi l'exploit non funzionava correttamente e gli attacchi non venivano portati con malware wormable. 

Questo però non è motivo sufficiente per abbassare la guardia: "per quanto adesso non siano stati ancora individuati attacchi che coinvolgano ransomware o altri malware molto pericolosi, l'exploit BlueeKeep sarà probabilmente usato a breve termine per diffondere payload di malware molto più impattanti e dannosi dei miner di criptovaluta", affermano da Microsoft. 

E' importante quindi che le aziende prestino attenzione a questo alert e si assicurino di mantenere aggiornate le proprie reti, sopratutto quelle con funzionalità RDP, scaricando le patch più recenti non appena vengono pubblicate. Gli exploit della vulnerabilità BlueKeep sono molto molto pericolosi e il fatto che, ad ora, non siano stati usati in attacchi di grave entità non implica affatto che non siano efficaci. E' bene tenere in considerazione anche che, poiché il tipo di attacco è diventato noto, qualche cyber attaccante potrebbe procedere alla modifica degli exploit per renderlo, ad esempio, non rilevabile, garantendo al contempo che resti wormable: capitalizzerebbe così un errato senso di sicurezza dell'azienda bersaglio. 

Continueremo a fornire informazioni riguardo a nuove patch ed exploit riguardanti la vulnerabilità Bluekeep, poichè la riteniamo estremamente pericolosa.