Bug RCE no protocolo RDP permite que hackers executem ataque WannaCry em 3 milhões de endpoints vulneráveis

Uma vulnerabilidade crítica de execução remota nos serviços de área de trabalho remota da Microsoft permite que os invasores comprometam o sistema vulnerável com o malware do nível WannaCry.

A Microsoft corrigiu recentemente essa vulnerabilidade de RCE nos Serviços de Área de Trabalho Remota – anteriormente conhecida como Serviços de Terminal, e afetou parte da versão antiga do Windows.

Um ataque WannaCry foi um dos notórios ataques cibernéticos nesta década e fechou milhões de computadores em todo o mundo, explorando a vulnerabilidade no protocolo RDP.

Nesse caso, o protocolo RDP (Remote Desktop Protocol) em si não é vulnerável, mas os invasores precisam executar a pré-autenticação e não exigem interação do usuário.

Esta vulnerabilidade não tinha nenhuma exploração neste momento, mas, no futuro, um invasor criará um malware que explora essa vulnerabilidade de maneira semelhante ao ataque WannaCry.

Os sistemas de suporte vulneráveis ​​incluem o Windows 7, o Windows Server 2008 R2 e o Windows Server 2008, além de versões de suporte do Windows 2003 e do Windows XP.

3 milhões de endpoints são vulneráveis ​​a este bug RCE

Inicialmente, um invasor não autenticado enviará a solicitação mal-intencionada especialmente criada aos sistemas vulneráveis ​​depois que estabelecerem uma conexão por meio do RDP.

Segundo a Microsoft , essa vulnerabilidade é um pré-autenticação e não requer interação do usuário. Um invasor que explora com êxito essa vulnerabilidade pode executar um código arbitrário no sistema de destino. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Um pesquisador independente, Kevin Beaumont, disse que, com base no mecanismo de busca Shodan, cerca de 3 milhões de endpoints RDP estão diretamente expostos à Internet.

“Há mitigação parcial nos sistemas afetados que possuem o  NLA (Network Level Authentication)  ativado. Os sistemas afetados são mitigados contra malware “wormable” ou ameaças avançadas de malware que podem explorar a vulnerabilidade, já que a NLA exige autenticação antes que a vulnerabilidade possa ser acionada “, informou a Microsoft .

De acordo com Simon Pope, diretor de resposta a incidentes, o Microsoft Security Response Center (MSRC) “Clientes que executam o Windows 8 e o Windows 10 não são afetados por essa vulnerabilidade”.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.