Em meados de maio, a Microsoft anunciou que uma vulnerabilidade, chamada BlueKeep, havia sido descoberta no Windows XP, Windows 7 e outros sistemas Windows mais antigos. Na época, a Microsoft lançou um patch para proteger seus usuários contra essa vulnerabilidade de execução remota de código nos Serviços de Área de Trabalho Remota. Estima-se que esta vulnerabilidade afeta mais de um milhão de usuários.
No final de julho, o Rapid7 relatou um aumento significativo na atividade maliciosa de RDP desde a descoberta do BlueKeep. Além disso, destaca que há pelo menos uma exploração comercial conhecida, viável e comercial para esta vulnerabilidade.
Tempos ruins para conexões RDP
Em agosto, a Microsoft anunciou que havia descoberto quatro novas vulnerabilidades nos Serviços de Área de Trabalho Remota. CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 e CVE-2019-1226. Como o BlueKeep, essas vulnerabilidades são passíveis de worms. Isso significa que um malware que explora essas vulnerabilidades pode se espalhar entre computadores vulneráveis sem intervenção do usuário.
As versões afetadas do Windows são Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 e todas as versões compatíveis do Windows 10, incluindo versões do servidor. A Microsoft acrescenta que não há evidências de que terceiros tenham conhecimento dessas vulnerabilidades.
A Microsoft explica que os sistemas com a autenticação de nível de rede (NLA) ativada são parcialmente protegidos, uma vez que o NLA exige autenticação antes que a vulnerabilidade possa ser acionada. No entanto, esses sistemas ainda estarão vulneráveis à execução remota de código se o invasor tiver credenciais válidas que possam ser usadas para autenticação.
Estima-se que essas vulnerabilidades possam afetar até 800 milhões de usuários.
Como se proteger contra vulnerabilidades do RDP
Como em todas as vulnerabilidades, a etapa fundamental na proteção contra elas é aplicar os patches relevantes o mais rápido possível. A Microsoft já lançou patches para as quatro novas vulnerabilidades (CVE-2019-1181; CVE-2019-1182; CVE-2019-1222; CVE-2019-1226).
Os patches são uma medida de segurança vital que pode impedir um grande número de ameaças cibernéticas antes que eles possam causar danos. De fato, segundo um estudo, 57% das empresas que sofreram uma violação disseram que isso foi possível devido a uma vulnerabilidade para a qual um patch já existia.
Para simplificar a tarefa de procurar e aplicar patches para os seus sistemas, o Panda Adaptive Defense possui o módulo Panda Patch Management. O Patch Management audita, monitora e prioriza atualizações em sistemas operacionais e aplicativos. Nas explorações e nas detecções de programas mal-intencionados, ele notifica os patches pendentes. As instalações são iniciadas imediatamente ou agendadas no console, isolando o computador, se necessário. Dessa forma, você poderá gerenciar os patches necessários para sua empresa, sem precisar investir mais tempo ou recursos nela. E você completará seu sistema de proteção para proteger seus ativos.
Outra medida importante é proteger a conexão RDP, removendo-a das conexões diretas da Internet com uma VPN ou até mesmo reconsiderando se é realmente necessário ativá-la.