Teletrabalho e pandemia: uma análise prática da vulnerabilidade BlueKeep na Espanha e na América Latina

Andrés Naranjo    12 noviembre, 2020
Teletrabalho e pandemia: uma análise prática da vulnerabilidade BlueKeep na Espanha e na América Latina

Não é a espécie mais forte que sobrevive, nem a mais inteligente, mas a que melhor responde à mudança.

Charles Darwin

Uma das maiores e mais rápidas mudanças na história recente da humanidade é esse “novo normal” que a pandemia Covid-19 trouxe desde março passado. Nesta mudança, a maioria das empresas teve de conceber uma forma de manter a sua actividade a qualquer preço, pelo menos na medida do possível.

Isso, que não é fácil, também sabemos que é fundamental quando falamos em empresas de tecnologia: vemos muitas empresas cujo sucesso e solidez anterior não lhes serviram de forma alguma para enfrentar o mercado atual ou o cenário financeiro. Eles passaram do maior dos sucessos (sua força anterior) ao mais retumbante dos fracassos. Não se adaptar à mudança pode significar ser condenado à morte ou a uma longa agonia . Lembremos o caso da Nokia, por exemplo: no início do século, confortavelmente sentada no trono hegemônico da telefonia móvel tanto pela produção quanto pela reputação; hoje, apenas uma pequena sombra do que era, após a chegada dos smartphones .

Mas voltando a março de 2020, como dissemos, as empresas na maioria dos países que sofreram confinamento tiveram que ter meios para manter sua atividade. E muitas vezes esses processos muito urgentes nunca levam em consideração as medidas de proteção necessárias. Em grande medida, essa adaptação significou viabilizar a possibilidade do teletrabalho , que, de acordo com os movimentos dos diferentes governos para regulamentar essa modalidade de trabalho, veio para ficar. Mas, como demonstraremos, essa capacidade de gerenciar remotamente e / ou habilitar o teletrabalho significou um maior número de ativos expostos a vulnerabilidades conhecidas.

A vulnerabilidade BlueKeep

O estudo apresentado é baseado na vulnerabilidade CVE-2019-0708, uma vulnerabilidade batizada de BlueKeep, para execução remota de código nos Serviços de Área de Trabalho Remota (anteriormente conhecidos como Serviços de Terminal) quando um invasor não autenticado se conecta ao sistema de destino usando RDP e envia solicitações especialmente criadas. Essa execução remota de código pode significar total controle e comprometimento do sistema.

A razão para estudar exatamente essa vulnerabilidade é porque o protocolo RDP permite o acesso remoto facilmente, bastando abrir a porta 3389 para a máquina desejada. Mas cada porta aberta, como sabemos, é um vetor de entrada, principalmente no caso em que as medidas básicas de proteção dos sistemas não tenham sido tomadas. Além disso, não é uma vulnerabilidade particularmente recente (datada de maio de 2019) e também devemos ter em mente que ela afeta sistemas operacionais obsoletos do Microsoft XP, Vista, Windows Server 2008 que não são devidamente atualizados.

Colaborou no estudo César Farro , que já em maio do ano passado publicou o primeiro estudo de exposição sobre o BlueKeep. Ferramentas públicas como masscan e rdpscan, ambas escritas por Robert Graham , foram usadas para este propósito.

Estudio de la vulnerabilidad BlueKeep – Mayo 2019

A metodologia para este trabalho é simples:

  • A faixa de IP’s para cada país foi escaneada usando fontes públicas onde são publicadas as faixas IPv4 atribuídas a cada um, como Lacnic e RIPE .
  • As ferramentas descritas acima foram usadas para analisar se o ativo exposto na porta aberta 3389 é vulnerável. Ressalta-se que a análise não é determinante e há uma série de ativos não diagnosticáveis, que são detalhados como “ desconhecidos ”.
  • Estabelecemos uma comparação entre janeiro de 2020 e agosto de 2020 para comparar o número de ativos com a porta aberta e tirar conclusões quanto ao nível de exposição.

Vejamos, por exemplo, os dados da Espanha antes e depois da pandemia:

Tomando as porcentagens como dados, vemos uma evolução clara:

No caso da Espanha, podemos tirar as seguintes conclusões:

  • Enquanto o número de ativos com a porta 3389 quase dobrou, a porcentagem de ativos objetivamente vulneráveis ​​a esta vulnerabilidade caiu claramente de 11% para 4% dos ativos expostos.
  • Os dispositivos 3745 ainda podem ser considerados um número muito alto de máquinas facilmente acessíveis e, portanto, vulneráveis ​​a uma violação de segurança publicada há mais de um ano.
  • O aumento de casos rotulados como desconhecidos deve-se principalmente a uma correção nos métodos de consulta de IPs desconhecidos , devendo ser atribuído a uma melhor configuração. Isso pode ser feito, por exemplo, limitando os acessos RDP a IPs específicos, o que resulta em um acesso mais seguro.

Você pode consultar todos os dados relativos aos 12 países em estudo resumidamente na tabela a seguir:

Em resumo

A nova normalidade imposta pela pandemia obrigou inúmeras empresas e organizações a habilitar recursos de acesso remoto para manter suas atividades. Mas, como qualquer mudança, isso deve ser feito mantendo nossa estratégia de segurança para também garantir a continuidade dos negócios.

O uso de RDP ou outros métodos de acesso remoto deve ser sempre planejado e executado desde o projeto de segurança para que nossa adaptação a esta mudança seja realizada sem colocar nossa entidade em risco. A título de dica, é conveniente ter nossa lista de ativos corretamente inventariada com suas respectivas versões de sistemas operacionais e softwares e / ou serviços executados, garantindo sempre que os mesmos se mantenham atualizados em relação às atualizações de segurança.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *