Quase 1 milhão de sistemas Windows ainda não foram corrigidos e estão expostos a uma vulnerabilidade de execução remota de código crítica no RDP (Remote Desktop Protocol) do Windows duas semanas após a Microsoft lançar o patch de segurança.

Se explorada, a vulnerabilidade pode permitir que um criminoso facilmente cause estragos em todo sistema, potencialmente muito pior do que os ataques WormaCry e NotPetya como em 2006.

Apelidado de BlueKeep e identificado como CVE-2019-0708, a vulnerabilidade afeta o Windows 2003, XP, Windows 7, Windows Server 2008 e 2008 R2 e pode se espalhar automaticamente em sistemas desprotegidos.

A vulnerabilidade pode permitir que um invasor remoto não autenticado assuma o controle de um computador de destino apenas enviando solicitações especialmente criadas para o RDS (Remote Desktop Service) do dispositivo por meio do RDP, sem exigir nenhuma interação de um usuário.

Descrevendo a vulnerabilidade do BlueKeep como sendo o Wormable que poderia permitir que o malware se propagasse para sistemas vulneráveis como o WannaCry, a Microsoft lançou uma correção de segurança para solucionar a vulnerabilidade com suas atualizações de terça-feira de maio de 2019.

No entanto, a mais recente varredura da Internet realizada por Robert Graham, chefe da empresa de pesquisa de segurança Errata Security, revelou que, infelizmente, cerca de 950.000 máquinas publicamente acessíveis na Internet são vulneráveis ao bug do BlueKeep.

Isso claramente significa que, mesmo após o patch de segurança, nem todos os usuários e organizações o implantaram para resolver o problema, representando um risco enorme para indivíduos e empresas, inclusive o setor industrial e ambientes de saúde.

Graham usou o "rdpscan", uma ferramenta de varredura rápida que ele construiu sobre o scanner de portas masscan que pode escanear toda a Internet em busca de sistemas ainda vulneráveis ao BlueKeep, e encontrou 7 milhões de sistemas na porta 3389, dos quais cerca de 1 milhão de sistemas ainda estão vulneráveis.

"Hackers são propensos a descobrir uma exploração robusta no próximo mês ou dois e causar estragos com essas máquinas", diz o pesquisador.

"Isso significa que quando o worm chegar, provavelmente comprometerá esses milhões de dispositivos. Isso provavelmente levará a um evento tão prejudicial quanto o WannaCry ou até potencialmente pior, já que hackers aprimoraram suas habilidades explorando essas vulnerabilidades".

A vulnerabilidade do BlueKeep tem tanto potencial para causar estragos em todo o mundo que forçou a Microsoft a lançar patches não apenas para as versões suportadas do Windows, mas também para Windows XP, Windows Vista e Windows Server 2003, que não recebem mais suporte da empresa, mas ainda são amplamente usava.

Não apenas pesquisadores, hackers mal-intencionados e cibercriminosos também começaram a escanear a Internet em busca de sistemas vulneráveis para atacá-los com malware, segundo a GreyNoise Intelligence.

"GreyNoise está observando testes abrangentes para sistemas vulneráveis ao BlueKeep (CVE-2019-0708) através de vários hosts ao redor da Internet. Esta atividade foi observada exclusivamente a partir de nós de saída Tor e está sendo executada por uma única origem.", diz o tweet.

No entanto, felizmente, até agora nenhum pesquisador de segurança publicou publicamente qualquer código de exploração de prova de conceito para o BlueKeep, embora alguns deles tenham confirmado ter desenvolvido com sucesso uma exploração operacional.

Você ainda está esperando o que para impedir que isso aconteça? Vá e corrija essa vulnerabilidade se estiver usando um dos sistemas operacionais mencionados.

Se a correção da falha em sua organização não for possível de forma rápida, você poderá adotar essas atenuações:

• Desative os serviços RDP, se não for necessário.
• Bloqueie a porta 3389 usando um firewall ou torne-a acessível apenas por uma VPN privada.
• Habiliete Autenticação no Nível da Rede (NLA) - isso é uma atenuação parcial para evitar que qualquer invasor não autenticado explore essa falha do Wormable.