DejaBlue: nuovi bug in stile BlueKeep significano che devi aggiornare Windows ora


Per mesi, sistemi gli amministratori si sono affrettati a patchare i loro sistemi Windows contro BlueKeep, una vulnerabilità critica nel Protocollo desktop remoto di Microsoft che potrebbe abilitare un worm globale che mastica Internet se non risolto su centinaia di migliaia di computer vulnerabili. Quel verme deve ancora arrivare. Ma ora, Microsoft ha reimpostato l'orologio in quella corsa, rivelando una raccolta di nuove vulnerabilità RDP, due delle quali potrebbero anche provocare lo stesso tipo di worm globale, e questa volta nelle versioni più recenti di Windows.

Oggi Microsoft ha avvisato gli utenti Windows di sette nuove vulnerabilità in Windows che, come BlueKeep, possono essere sfruttate tramite RDP, uno strumento che consente agli amministratori di connettersi ad altri computer in una rete. Di questi sette bug, la consulenza di Microsoft ha sottolineato che due sono particolarmente gravi; come BlueKeep, potrebbero essere utilizzati per codificare un worm automatizzato che salta da una macchina all'altra, potenzialmente infettando milioni di computer. Come scrive Simon Pope, direttore della risposta agli incidenti del Security Response Center di Microsoft, "qualsiasi malware futuro che li sfrutta potrebbe propagarsi da un computer vulnerabile a un computer vulnerabile senza l'interazione dell'utente".

"Sta ricominciando tutto da capo."

Rob Graham, Errata Security

A differenza di BlueKeep, tuttavia, i nuovi bug – chiamati in modo scherzoso DejaBlue dai ricercatori della sicurezza che lo seguono – non riguardano semplicemente Windows 7 e precedenti, come ha fatto la vulnerabilità RDP precedente. Al contrario, interessa Windows 7 e oltre, comprese tutte le versioni recenti del sistema operativo.

Marcus Hutchins, un ricercatore di sicurezza che ha seguito da vicino le vulnerabilità del PSR e ha codificato uno strumento di prova del concetto per sfruttare BlueKeep, afferma che potrebbero esserci più macchine vulnerabili a DejaBlue che a BlueKeep. A questo punto, quasi tutti i computer Windows contemporanei devono patchare, prima che gli hacker possano decodificare quelle correzioni per indizi che potrebbero aiutare a creare exploit.

"Le persone che non eseguono l'aggiornamento da sempre potrebbero essere un po 'più sicure da questo, ma immagino che ci sia un pool molto più ampio di computer vulnerabili ad esso", afferma Hutchins. "Certo, se stai prendendo in considerazione anche BlueKeep, questo aggrava il problema."

A differenza di BlueKeep, la cui scoperta Microsoft ha accreditato all'agenzia di intelligence britannica GCHQ, Microsoft afferma di aver trovato e corretto questi nuovi bug. "Queste vulnerabilità sono state scoperte da Microsoft durante l'indurimento dei Servizi Desktop remoto come parte della nostra costante attenzione al rafforzamento della sicurezza dei nostri prodotti", afferma Microsoft. "Al momento, non abbiamo prove del fatto che queste vulnerabilità fossero note a terzi." Microsoft non ha risposto immediatamente a una richiesta di commento.

Da quando BlueKeep è stato annunciato pubblicamente il 14 maggio, l'industria della sicurezza ha spinto gli utenti a patchare con risultati contrastanti: a partire dal mese scorso, tra 730.000 e 800.000 computer sono rimasti vulnerabili a BlueKeep. Rob Graham, ricercatore di sicurezza e fondatore di Errata Security, ha realizzato uno scanner per misurare il numero di macchine vulnerabili a BlueKeep a maggio e inizialmente ha scoperto quasi un milione di macchine vulnerabili. Ora stima che il numero di macchine vulnerabili ai nuovi bug RDP è probabilmente nello stesso campo di gioco. "Sta ricominciando tutto da capo", dice Graham.

Graham sottolinea, tuttavia, che un'impostazione denominata autenticazione a livello di rete su macchine Windows blocca lo sfruttamento del nuovo set di bug. Nelle sue scansioni precedenti, ha trovato un totale di 1,2 milioni di computer Windows con questa impostazione abilitata. Ma non è chiaro quali versioni di Windows siano in esecuzione su quei computer o quante altre macchine non abbiano NLA attivato.

La buona notizia è che Windows offre aggiornamenti automatici per impostazione predefinita; quelli con quella funzione abilitata dovrebbero essere coperti presto, se non già. Chiunque lo abbia disattivato, tuttavia, dovrebbe attivare NLA ora e scaricare qui una patch contro i nuovi bug RDP.

Quando BlueKeep è apparso per la prima volta, i ricercatori sulla sicurezza e persino la stessa Microsoft hanno avvertito che potrebbe essere integrato in un worm diffuso in poche settimane che potrebbe essere grave come WannaCry o NotPetya, poiché gli hacker malintenzionati si muovevano più velocemente del vasto numero di utenti vulnerabili che avevano bisogno di patch . Da allora sono trascorsi tre mesi senza avvistare worm, sebbene hacker più furtivi possano già hackerare RDP in attacchi segreti mirati. L'assenza del worm previsto, affermano alcuni ricercatori, è dovuta alla moderazione da parte della comunità della ricerca sulla sicurezza, che si è in gran parte astenuta dal rilasciare pubblicamente strumenti di hacking di proof of concept che sfruttano BlueKeep. Inoltre, pochi dettagli sono diventati pubblici su come funziona esattamente BlueKeep e la creazione di un'intrusione affidabile basata su di essa sembra sorprendentemente difficile.

Sfruttare DejaBlue potrebbe essere leggermente più semplice di BlueKeep, afferma Hutchins, che afferma che la codifica di un exploit BlueKeep lo ha portato a quasi una settimana di lavoro a tempo pieno. La parte difficile, dice, stava manipolando la memoria di un computer in modo che il bug RDP consentisse all'hacker di eseguire il proprio codice invece di mandare in crash il computer. Quando DejaBlue si arresta in modo anomalo a un computer, dice Hutchins, si blocca semplicemente il servizio RDP sul dispositivo di destinazione piuttosto che sull'intera macchina, consentendo a un hacker con un exploit inaffidabile di usarlo in modo più furtivo. "Bluekeep ha richiesto una qualche conoscenza specializzata", afferma Hutchins. "Sembra che potrebbe avere un gruppo più ampio di persone in grado di scrivere un exploit".

DejaBlue potrebbe essere patchato più rapidamente rispetto a BlueKeep, osserva Hutchins, poiché anche gli utenti con versioni più recenti di Windows tendono a patchare in modo più affidabile. Hutchins dice anche che dopo aver predetto l'arrivo di un worm BlueKeep molto prima di oggi, continuerà a resistere a ulteriori speculazioni. "È del tutto possibile che un worm possa essere più probabile, ma non possiamo davvero prevedere cosa faranno le persone", afferma Hutchins. "I cattivi faranno ciò che i cattivi faranno."


Altre fantastiche storie CABLATE