BlueKeep è il nome della vulnerabilità (CVE-2019-0708) resa nota nelle scorse settimane dal gruppo di Redmond che colpisce chi ancora è fermo a una versione di Windows non più supportata in via ufficiale da update e patch di sicurezza. Una falla che, potenzialmente, può consentire a un malintenzionato l’esecuzione di codice remoto sul computer della malcapitata vittima, tramite Remote Desktop Protocol.
BlueKeep, un milione di PC a rischio
Quasi un milione di PC a rischio tra quelli connessi a Internet, secondo gli ultimi report, mentre le prime stime parlavano di oltre sette milioni. I cracker sono già all’opera per scovarli e metterli in ginocchio, come si può vedere dal tweet allegato di seguito, condiviso da Bad Packets. Già individuati tentativi di attacco a realtà industriali come Siemens Healthineers La criticità colpisce Windows Remote Desktop Services ed è stata definita dai ricercatori come wormable ovvero capace di diffondersi contagiando altri sistemi con modalità simili a quanto fatto un paio di anni fa dai ransomware WannaCry e NotPetya.
BlueKeep (CVE-2019-0708) #RDP scans detected per country:
🇳🇱 Netherlands 3,652
🇷🇺 Russia 2,376
🇨🇳 China 2,209
🇺🇸 United States 537
🇰🇷 South Korea 293
🇩🇪 Germany 179
🇻🇳 Vietnam 168
🇨🇦 Canada 63
🇬🇷 Greece 54
🇱🇻 Latvia 19
All Other Countries 36 pic.twitter.com/eBQ1OC1U93— Bad Packets by Okta (@bad_packets) May 27, 2019
Dal sito ufficiale Microsoft è possibile scaricare gli aggiornamenti destinati alle versioni della piattaforma non più supportate: Windows XP SP3 x86, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3 x86, Windows Server 2003 SP2 x86, Windows Server 2003 x64 Edition SP2, Windows Server 2003 R2 SP2, Windows Server 2003 R2 x64 Edition SP2, Windows Vista SP2 e Windows Vista x64 Edition SP2. Per le altre edizioni la vulnerabilità è stata corretta con l’arrivo del Patch Tuesday di maggio.
Considerando il potenziale impatto per i clienti e le loro attività abbiamo deciso di rendere disponibili gli aggiornamenti di sicurezza per le piattaforme non più supportate. Raccomandiamo a chi esegue uno di questi sistemi operativi di scaricare e installare l’update il prima possibile.
Su Windows 7 e Windows Server 2008 è possibile mettersi al sicuro attivando Network Level Authentication e impedendo la comunicazione sulla porta TCP 3389. Se non necessario per lo svolgimento dell’attività, anche la disattivazione di Remote Desktop Services può aiutare.