Si torna dopo mesi di silenzio a parlare di BlueKeep, la vulnerabilità (CVE-2019-0708) già risolta da Microsoft con il rilascio di alcune patch in maggio, poiché i ricercatori hanno scovato la prima campagna messa in atto con l’obiettivo di sfruttare l’exploit con finalità malevole. L’azione ha come scopo quello di installare un cryptominer sui PC delle vittime.
BlueKeep e il cryptominer per Windows
Si tratta di un software che sfruttando le risorse del sistema genera criptovaluta (Bitcoin o altro) da destinare ai portafogli dei responsabili. La pratica è andata avanti su larga scala per circa un paio di settimane (a partire dal 23 ottobre), prima di essere identificata e resa nota dall’esperto di sicurezza Kevin Beaumont, lo stesso che in primavera aveva svelato il problema attribuendogli il nomignolo BlueKeep e rendendolo noto al gruppo di Redmond.
huh, the EternalPot RDP honeypots have all started BSOD’ing recently. They only expose port 3389. pic.twitter.com/VdiKoqAwkr
— Kevin Beaumont (@GossiTheDog) November 2, 2019
Fortunatamente l’attacco non ha le proporzioni temute da Microsoft che ha paragonato il potenziale della vulnerabilità a quello di EternalBlue, exploit emerso nel 2017 consentendo la diffusione dei ransomware WannaCry, NotPetya e Bad Rabbit su scala globale. Al momento il codice non è strutturato in modo da diffondersi in maniera virale da un sistema all’altro.
L’attacco messo in campo non sembra comunque in grado di ottenere l’esito sperato: si basa sulla demo dell’exploit messa a disposizione dal team Metasploit in settembre, ma non è perfezionato a tal punto da raggiungere il proprio obiettivo senza andare in crash. Le cose potrebbero ad ogni modo cambiare in futuro, nel caso in cui qualcuno si dovesse dimostrare in grado di sfruttare la falla in modo più efficace.
I sistemi operativi interessati sono Windows 7, Windows Server 2008 R2 e Windows Server 2008. Ad oggi sembrano ancora esserci in circolazione circa 750.000 computer connessi a Internet ed esposti al rischio. Come scritto in apertura, le patch correttive sono già state rilasciate da Microsoft nel mese di maggio.