BlueKeep_exploit

Primo attacco informatico BlueKeep, ma non è un worm

Sicurezza, Vulnerabilità

Gli hacker stanno sfruttando la vulnerabilità BlueKeep per colpire i sistemi Windows non aggiornati e installare un minatore di criptovaluta.

I ricercatori nel campo della sicurezza informatica hanno rilevato la prima campagna di hacking di massa che sfrutta l’exploit BlueKeep. L’exploit non viene utilizzato in qualità di worm, come inizialmente ipotizzato il 14 maggio scorso dalla Microsoft.

L’attacco hacker su larga scala è in atto da due settimane, a scoprirlo è stato l’esperto inglese di sicurezza informatica Kevin Beaumont affermando che 10 su 11 dei suoi honeypot RDP Bluekeep, che espongono volutamente solo la porta 3389, vanno in crash per poi riavviarsi.

honeypot-RDP-Bluekeep-crash
img: Kevin Beaumont

Quelli scoperti da Beaumont nulla hanno a che vedere con gli attacchi informatici ipotizzati dalla Microsoft quando, dopo il rilascio delle patch, aveva incautamente paragonato BlueKeep a EternalBlue, l’exploit responsabile delle “epidemie” causate dai Ransomware WannaCry e NotPetya nel maggio del 2017 capaci di far collassare interi sistemi IT di importanti aziende

  • Portugal Telecom
  • Deutsche Bahn
  • FedEx
  • Telefónica
  • Renault
  • National Health Service
  • Ministero dell’interno russo
  • Università degli Studi di Milano-Bicocca

Da quanto è emerso fino a oggi gli attacchi informatici effettuati dal gruppo di hacker, sfruttando le capacità dell’expolit BlueKeep creato dal team Metasploit, non sembrano essere in grado, per ora, di propagare le infezioni su altri sistemi non aggiornati anche perchè la versione che circola liberamente in rete è una demo: priva quindi di alcune importanti funzionalità. La versione completa è possibile ottenerla solo in forma privata ed è in vendita ad un prezzo che supera 32.000 $.

Una discussione sulle funzionalità dell’exploit creato dallo sviluppatore Rapid7 è disponibile su GitHub.

E’ molto probabile invece intuire che, nelle prossime settimane, arriveremo ad avere ulteriori attacchi informatici più “raffinati” con versioni demo dell’exploit BlueKeep perfezionate. Ecco perchè occorre fin da ora, se già lo si è fatto nei mesi passati, patchare tutti quei sistemi datati e quindi vulnerabili.

Di seguito l’elenco dei sistemi Windows interessati dalla vulnerabilità CVE-2019-0708

  • Windows XP SP3 x86
  • Windows XP Professional x64 Edition SP2
  • Windows XP Embedded SP3 x86
  • Windows Server 2003 SP2 x86
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 R2 SP2
  • Windows Server 2003 R2 x64 Edition SP2
  • Windows Vista SP2
  • Windows Vista x64 Edition SP2
  • Windows 7 SP1 x86
  • Windows 7 SP1 x64

 

Fonte: ZDNet

Lascia un commento