A Microsoft lançou um novo pacote de atualizações de segurança para o mês de agosto que corrige 93 vulnerabilidades, incluindo quatro (CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 e CVE-2019-1226) que estão presentes no serviço de desktop remoto do Windows e permitem a execução remota de código (RCE).

A empresa recomenda a instalação das últimas atualizações o mais rápido possível. Isso se deve à natureza dessas quatro falhas, pois, além de poderem ser exploradas remotamente e sem a necessidade de interação por parte da vítima, apresentam características semelhantes ao BlueKeep – exemplo disso é o fato de poderem permitir que o malware se propague automaticamente para outros computadores vulneráveis sem a necessidade de interação por parte da vítima (características do worm), semelhante à forma como o ransomware WannaCry se propagou em em 2017, causando diversos problemas.

Para explorar as duas primeiras falhas - que permitem a execução de código arbitrário - um atacante não autenticado só precisa enviar uma requisição especialmente projetada para o sistema alvo via RDP. Uma vez que o atacante consegue explorar a falha, ele pode então executar código no computador comprometido e instalar programas, visualizar e/ou modificar informações, e até mesmo criar novas contas com altos níveis de permissões.

Duas dessas vulnerabilidades (CVE-2019-1181 e CVE-2019-1182) afetam todas as versões do Windows 10, além das versões server 2019, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1 e Windows Server 2012 R2. Já as vulnerabilidades CVE-2019-1222 e CVE-2019-1226 afectam apenas as edições do Windows 10 e Windows Server.

Segundo a explicação do diretor de Resposta a Incidentes da Microsoft, Simon Pope, em um post, no caso das duas primeiras vulnerabilidades, "até agora não há nenhuma evidência de que essas falhas tenham sido descobertas anteriormente por terceiros”.

Por outro lado, "os sistemas que contam com a autenticação em nível de rede (NLA) habilitada terão parcialmente mitigado a possibilidade de serem afetados por uma ameaça avançada ou com características de worm que explore a vulnerabilidade, porque para isso, a ativação do NLA requer autenticação", destacou Pope. No entanto, os sistemas afetados que não instalaram o último patch continuarão vulneráveis à exploração do RCE se um atacante obtiver as credenciais que lhe permitem realizar a autenticação", acrescentou ele.

É necessário ter em conta que logo após a Microsoft ter emitido seu primeiro comunicado em maio deste ano alertando sobre a descoberta do BlueKeep e a importância de atualizar os sistemas para evitar um possível surto semelhante ao WannaCry, muitas informações relacionadas à exploração do BlueKeep começaram a se tornar públicas e, além disso, foram liberadas várias provas de conceito (PoCs) que demonstravam a possibilidade de explorar a vulnerabilidade. Como se isso não bastasse, apesar das duas comunicações que a Microsoft finalmente emitiu, além da alerta lançada pela NSA pedindo a instalação do patch que corrige a falha, duas semanas depois que foi lançado, o número de computadores que ainda estavam vulneráveis ao BlueKeep chegava perto de um milhão, o que mostra a lentidão do processo de instalação das atualizações.