Nos últimos dias, a Microsoft divulgou informações a respeito de uma vulnerabilidade crítica no sistema de operações Windows (CVE-2019-0708). Ela permite a execução remota de código por um atacante que age diretamente da rede, utilizando o Protocolo RDP (Protocolo de área de trabalho remota) em serviços de área de trabalho remota que afetam versões mais antigas do Windows por usuários do mundo todo.
Esse ataque pode afetar muitos computadores em todos os setores e indústrias, incluindo finanças, saúde, governo, varejo, indústrias, entre outros. Mediante este cenário, a equipe de investigação da Check Point Software Technologies avalia os principais riscos e como devemos nos proteger.
Principais riscos:
- Um atacante arbitrário da rede pode realizar uma aquisição completa de um computador privado, dentro de redes públicas, como hotspots Wi-Fi;
- Dispositivos embarcados, como caixas eletrônicos ou dispositivos IoT, são mais vulneráveis à aquisição;
- Os computadores dentro das redes organizacionais também são vulneráveis a uma aquisição usando o movimento lateral dentro da rede.
Por que isso é tão importante?
Como essa vulnerabilidade é colocada no estágio de pré-autenticação e não exige nenhuma interação do usuário, permite que qualquer atacante arbitrário na Internet execute códigos maliciosos no sistema privado da vítima e permita a aquisição total de um computador em qualquer rede, como Wi-Fi, Hotspots Wi-Fi, além de redes públicas, privadas e corporativas.
De acordo com a Microsoft, a fim de explorar essa vulnerabilidade, um atacante teria que enviar uma solicitação especialmente adaptada para os serviços da área de trabalho remota dos sistemas de destino por meio do RDP. Dada a natureza dessa vulnerabilidade, uma vez que um host é infectado, há um grande risco de um movimento lateral infectar outros hosts conectados na mesma rede.
“Em outras palavras, para esclarecer o potencial de exploração dessa vulnerabilidade, ela poderia ser usada de uma maneira muito similar ao ataque WannaCry 2017, que causou uma ruptura catastrófica e sabotagem a milhares de organizações em todos os setores do mundo”, afirma Fernando de Falchi, Security Engineer manager da Check Point Brasil.
Quem é afetado?
Aqueles que usam certas versões do Microsoft Windows 7 e do Windows Server 2008 correm o risco com essa vulnerabilidade. Clientes que usam Windows 8 e Windows 10 não são afetados por essa vulnerabilidade, por essas versões mais recentes incorporarem atualizações mais seguras.
“Os que têm maiores riscos, dentre outros, são aqueles que trabalham com dispositivos embarcados, como caixas eletrônicos e dispositivos de IoT no setor da saúde. Isso se deve às versões mais antigas do Windows, conhecidas por serem os sistemas por trás dessas operações, bem como serem alvos valiosos para cibercriminosos”, afirma Falchi.
Como resultado, desde que essa vulnerabilidade foi anunciada, profissionais de segurança de hospitais e bancos têm trabalhado diligentemente para corrigir seus sistemas.
Como se proteger:
A Check Point lançou uma proteção IPS para CVE-2019-0708 como uma resposta imediata e pode ser obtido por meio deste link. Adicionalmente, os pesquisadores da companhia listam três recomendações para corrigir sistemas vulneráveis e desabilitar o RDP se não for necessário.
- Bloqueie o protocolo RDP no gateway Check Point e finalizado;
- Se você estiver usando RDP para sistemas de missão crítica, configure o gateway e finalize o Check Point para aceitar conexões apenas de dispositivos confiáveis em sua rede;
- Desabilite RDP no seu computador Windows e servidores (a menos que seja usado internamente) e implemente o patch da Microsoft. Note que sua capacidade de identificar sistemas vulneráveis quando usada em dispositivos IoT (sistemas corporativo, financeiro, industrial e de assistência médica) é limitada – portanto, é recomendado seguir os passos 1 e 2 mesmo se o patch estiver instalado.
“Atualmente, enquanto os pesquisadores da Check Point estão investigando essa vulnerabilidade e monitorando qualquer atividade relevante na natureza, recomendamos que todos os profissionais de TI implantem os patches da Microsoft de acordo com o MS Security Update Guide”, completa Falchi.
