I tanto temuti attacchi a base di BlueKeep sono finalmente arrivati, anche se il pericolo – almeno per il momento – non sembra riguardare un worm “completo” in grado di auto-propagarsi.
Dopo essere entrata a far parte del kit per i test di penetrazione sui sistemi informatici Metasploit, la vulnerabilità di sicurezza nota come BlueKeep torna ora alla ribalta a causa di un attacco scoperto “in the wild”. I cyber-criminali hanno finalmente cominciato a sfruttare il bug, sebbene il rischio sia in teoria ancora molto al di sotto del livello di allarme provocato dalla famigerata epidemia di WannaCry.
Colloquialmente nota come BlueKeep, la vulnerabilità CVE-2019-0863 è stata individuata all’interno del servizio di Desktop Remoto (RDP) delle versioni meno recenti di Windows NT (da Windows 7 in giù), e può in teoria essere sfruttata (senza alcun intervento dell’utente) per eseguire codice malevolo da remoto, installare programmi, modificare o cancellare dati e altro ancora.
Microsoft ha già corretto la falla BlueKeep con gli aggiornamenti del Patch Tuesday di maggio 2019, arrivando persino a distribuire un update fuori ciclo per Windows XP nel tentativo di prevenire un’altra epidemia mondiale di un worm altamente distruttivo come WannaCry. Il primo worm capace di sfruttare BlueKeep è stato ora individuato dal ricercatore di sicurezza Kevin Beaumont, che ha notato svariati crash nei suoi server honeypot e ha spedito le relative informazioni di debug a MalwareTech.
Hutchins ha in seguito confermato di aver individuato “tracce” di un exploit BlueKeep all’interno del dump inviato dal collega, e ha quindi salutato su Twitter l’arrivo di quello che viene definito il primo worm per la falla CVE-2019-0863 sin qui conosciuto. Obiettivo apparente dell’attacco: scaricare da Internet un miner di criptomoneta Monero.
MalwareTech ha parlato di un worm BlueKeep, ma in realtà al momento si tratta di una definizione leggermente impropria: il codice malevolo “catturato” dai ricercatori non sembra essere dotato della capacità di autoproliferazione tipica di un worm classico, ed è probabilmente in grado di sfruttare una lista di indirizzi IP pre-determinata per sondare i sistemi vulnerabili presenti in Rete.