Falha BlueKeep do Windows é usada para minerar criptomodedas - Programadores Brasil
Windows

Falha BlueKeep do Windows é usada para minerar criptomodedas

3 Mins read
Windows 10 mostra-se SO mais protegido da Microsoft em ataques "dia zero", mostra pesquisa

Hackers estão se valendo de uma vulnerabilidade séria em antigas máquinas Windows que a Microsoft e a NSA alertaram que poderiam levar a um surto de vírus de computador.

[+] Malware do tipo Trojan se infiltra por 2 anos em mais de 3 milhões de PCs e rouba 1,2 terabytes de dados e informações pessoais. Entenda

Felizmente, os ataques envolveram apenas a instalação de um minerador de criptomoedas, de acordo com Kevin Beaumont, pesquisador de segurança que percebeu a atividade no fim de semana.

Falha afeta sistemas antigos

A vulnerabilidade, chamada BlueKeep, afeta máquinas sem patch do Windows 7, Vista e XP, juntamente com os sistemas Windows Server 2003 e 2008, que têm o recurso de Área de Trabalho Remota ativado. Quando explorada, a vulnerabilidade permite controlar a máquina Windows para visualizar, modificar ou excluir dados ou instalar novos programas.

O que faz que o BlueKeep seja assustador é como ele é “contagiante” e pode ser explorado sem nenhuma interação do proprietário do computador. Como resultado, um hacker poderia, teoricamente, criar um malware para pesquisar máquinas Windows vulneráveis ​​na Internet e tentar infectar todas elas.

A Microsoft divulgou e corrigiu a falha em maio, mas os pesquisadores de segurança dizem que pelo menos 700.000 máquinas conectadas à Internet ainda estão vulneráveis ​​à ameaça.

Para verificar se algum dia os hackers explorariam a vulnerabilidade, Beaumont criou várias iscas (Honeypot, no jargão de segurança), ou máquinas falsas do Windows vulneráveis ​​à falha, que foram conectadas à Internet aberta.

Por meses, a atividade nos honeypots era fraca, mas sábado, Beaumont disse que finalmente percebeu que alguém estava invadindo as máquinas usando a vulnerabilidade BlueKeep, o que causou o travamento a partir de 23 de Outubro.

Um exame mais detalhado mostrou que todos com exceção de um dos honeypots de Beaumont, foram comprometidos pela vulnerabilidade do BlueKeep, “várias vezes ao dia, no geral”, ele escreveu em um post de blog discutindo os ataques.

Beaumont então pediu a outro pesquisador de segurança, Marcus Hutchins – que ajudou a interromper o surto de ransomware WannaCry – para revisar os logs de falha de seus honeypots. A análise revelou que o misterioso invasor estava sequestrando as máquinas para baixar um minerador de criptomoedas.

“Até agora, o conteúdo entregue com o BlueKeep parece francamente um pouco bobo- os mineradores de [cripto]moedas não são exatamente uma grande ameaça”, escreveu Beaumont em seu blog. O software de mineração atua essencialmente como um parasita: rouba os recursos de CPU de uma máquina, para gerar uma moeda virtual, que será enviada aos hackers.

Na pior das hipóteses, os computadores atingidos pelo mineiro ficarão mais lentos e consumirão mais eletricidade, mas as próprias máquinas permanecem utilizáveis, com os dados intactos.

O misterioso hacker por trás dos ataques também se absteve de lançar um worm de computador. Segundo Hutchins, parece que o culpado está simplesmente alvejando máquinas Windows vulneráveis ​​em larga escala com base em uma lista de endereços IP.

Para explorar as máquinas Windows sem patches, o hacker usa uma ferramenta de teste de penetração, chamada Metasploit, lançada por pesquisadores de segurança em setembro para ajudar as organizações a verificar se estavam vulneráveis ​​à falha do BlueKeep.

A mesma ferramenta também é uma faca de dois gumes, já que um hacker também pode usá-la. Felizmente, o módulo Metasploit não possui funções de direcionamento automático incorporadas para abusar do BlueKeep; em vez disso, o usuário precisa especificar manualmente o destino.

Curiosamente, o misterioso culpado por trás dos seqüestros pode ter parado. Depois de publicar sua análise dos ataques, todas as atividades relacionadas ao BlueKeep sobre os honeypots de Beaumont cessaram.

No entanto, Beaumont adverte que pode ser apenas uma questão de tempo até que um ataque mais sério atinja as máquinas Windows sem patch. “Está claro que as pessoas agora entendem como executar ataques a alvos aleatórios e estão começando a fazê-lo”, disse ele. “Essa atividade não me preocupa, mas faz com que meu senso aranha diga ‘isso vai piorar mais tarde'”.

Muitas empresas, organizações de saúde e agências governamentais em todo o mundo ainda executam sistemas Windows legados. Portanto, eles provavelmente permanecem mais vulneráveis a ameaças.

Os patches para corrigir a falha podem ser baixados no site da Microsoft. Os sistemas operacionais Windows 8 e Windows 10, no entanto, são imunes à ameaça. Os proprietários também podem desativar a Área de Trabalho Remota nas máquinas para se proteger desta vulnerabilidade.


Deixe o seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *