Surge nueva información sobre la explotación de BlueKeep para realizar ataques de RCE | WeLiveSecurity

Surge nueva información sobre la explotación de BlueKeep para realizar ataques de RCE

Nueva información pública acerca de la explotación de BlueKeep para llevar adelante un ataque de ejecución remota de código (RCE) genera preocupación al aumentar el riesgo de que actores maliciosos lancen una amenaza. Aquellos que aún no actualizaron sus equipos, recomendamos hacerlo cuanto antes

Nueva información pública acerca de la explotación de BlueKeep para llevar adelante un ataque de ejecución remota de código (RCE) genera preocupación al aumentar el riesgo de que actores maliciosos lancen una amenaza. Aquellos que aún no actualizaron sus equipos, recomendamos hacerlo cuanto antes

Luego de lo que fueron las advertencias emitidas por parte de Microsoft y la NSA acerca de la severidad de la vulnerabilidad Bluekeep (CVE-2019-0708) y que especialistas en seguridad comenzaran a publicar que se habían desarrollado pruebas de concepto (PoC) que demostraban que era posible explotar el fallo (tanto para un ataque de denegación de servicio como para realizar un ataque de ejecución remota de código (RCE), el investigador de seguridad, Marcus Hutchins, manifestó su preocupación esta semana a través de su cuenta de twitter luego de leer una presentación (disponible de manera pública en GitHub) que se expuso en una conferencia y en la que se explica cómo es posible utilizar la PoC que provoca un “crash” en el sistema operativo para realizar ataque de RCE.

Por si fuera poco, otro investigador publicó dos días después en GitHub un análisis detallado del fallo e incluyó un código deliberadamente incompleto de la PoC escrita en Python que afecta a equipos que utilicen Windows XP.

Días atrás, el mismo investigador había publicado un video en el que muestra cómo logra realizar RCE con la PoC que desarrolló.

Según especialistas de ElevenPath, el análisis “explica cómo es posible utilizar la técnica de heap spraying con el shellcode en datos que vienen en remoto recogidos por el Network Packet Provider, o sea, un driver (cosa que sí es difícil)”, explican. En este sentido, “gestionar la memoria a ese nivel para inyectar el shellcode y conseguir que la vulnerabilidad apunte al código para la ejecución de forma estable, es una proeza que se ha estado esperando unos meses, desde la aparición del parche en mayo” agregan.

La preocupación es que con tanta información técnica de manera pública explicando cómo explotar la vulnerabilidad, es altamente probable que actores malintencionados desarrollen un exploit para BlueKeep en un corto período de tiempo, lo que hace que sea más urgente que los usuarios actualicen sus sistemas operativos, explicó el investigador de seguridad de ESET Latinoamérica, Luis Lubeck.

A esto se suma que recientemente se descubrió una nueva variante de un malware para minar criptomonedas conocido como Watchbog, que cuenta con un módulo para escanear equipos en busca de sistemas vulnerables a BlueKeep. Según los especialistas de Intezer, que fue quienes descubrieron esta nueva variante de Watchbog, probablemente el malware esté preparando el armado de una lista de equipos vulnerables a BlueKeep, ya sea para atacarlos en el futuro o para vender esta información a terceros”.

Aquellos que utilizan sistemas como Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2, deben instalar el parche que lanzó Microsoft para mitigar el fallo.

Discusión