BlueKeep Flaw en viejas PC con Windows explotadas para extraer criptomonedas | Noticias y opiniones
Un pirata informático abusó de una vulnerabilidad grave en máquinas Windows más antiguas que, según Microsoft y la NSA, podrían provocar un brote de virus informático.
Afortunadamente, los ataques solo involucraron la instalación de un minero de criptomonedas, según Kevin Beaumont, el investigador de seguridad que notó la actividad durante el fin de semana.
Esta vulnerabilidad, llamada BlueKeep, es para máquinas que no tienen parches en Windows 7, Vista y XP, y Windows Server 2003 y 2008, donde está habilitada la función Servicio de escritorio remoto. En caso de operación, en principio puede tomar el control de la máquina Windows para ver, editar o eliminar datos, o instalar nuevos programas.
Lo que asusta a BlueKeep es la forma en que se "desparasita" y se puede explotar sin ninguna interacción por parte del propietario de la computadora. Como resultado, un hacker podría crear teóricamente un programa malicioso para buscar máquinas vulnerables de Windows en Internet e intentar infectarlas a todas.
Microsoft reveló y corrigió la falla en mayo, pero los investigadores de seguridad dicen que al menos 700,000 máquinas conectadas a Internet siguen siendo vulnerables a la amenaza.
Hemos visto alguna explotación de BlueKeep en la naturaleza en todos los países con un honeypot RDP (excepto en Australia). Te agradezco @MalwareTechBlog por el momento y Azure Sentinel por las herramientas necesarias para encontrarlo. ?? https://t.co/ED2JHT7SC9
– Kevin Beaumont (@GossiTheDog) 2 de noviembre de 2019
Para probar si los piratas informáticos alguna vez explotarían esta vulnerabilidad, Beaumont ha creado varios "honeypots" o maniquíes defectuosos de Windows que se han conectado a Internet. Durante meses, la actividad en los honeypots fue tranquila. Pero el sábado, Beaumont dijo que finalmente había descubierto que alguien había ingresado a las máquinas con la vulnerabilidad BlueKeep, lo que los había causado un accidente desde el 23 de octubre.
La investigación adicional mostró que todos los honeypots de Beaumont, excepto uno, habían sido comprometidos por la vulnerabilidad BlueKeep, "normalmente varias veces al día", escribe en una publicación de blog sobre ataques.
Beaumont luego le pidió a otro investigador de seguridad, Marcus Hutchins, quien ayudó a detener el brote de ransomware WannaCry, que revisara los registros de accidentes de sus honeypots. El análisis reveló que el misterioso atacante había secuestrado las máquinas para descargar un minero de criptomonedas.
"Hasta ahora, el contenido entregado con BlueKeep parece francamente un poco cojo: las minas no son realmente una gran amenaza", escribió Beaumont en su blog. El software de minería básicamente actúa como un parásito; robará los recursos del procesador de una máquina para generar una moneda virtual, que luego se enviará a los piratas informáticos. En el peor de los casos, las computadoras afectadas por el minero funcionarán más lentamente y consumirán más electricidad. Pero las máquinas siguen siendo utilizables, con los datos intactos.
El misterioso hacker responsable de los ataques también se abstuvo de activar un gusano informático. según Para Hutchins, parece que el culpable es simplemente apuntar a máquinas vulnerables de Windows a gran escala, en base a una lista de direcciones IP.
Para explotar las máquinas de Windows sin parches, el hacker utiliza una herramienta de prueba de intrusión, llamada Metasploit, que los investigadores de seguridad lanzaron en septiembre para ayudar a las empresas a verificar si eran vulnerables a la falla de BlueKeep. La misma herramienta también es una espada de doble filo, porque un hacker también puede usarla. Afortunadamente, el módulo Metasploit no tiene una función de orientación automática incorporada para abusar de BlueKeep; en su lugar, el usuario debe especificar manualmente el objetivo.
Es interesante notar que el misterioso secuestrador puede haberse detenido. Después de publicar su análisis de los ataques, todas las actividades relacionadas con BlueKeep en los honeypots de Beaumont se han detenido.
Casi un millón de ellos están directamente en línea y siguen siendo vulnerables, este problema no desaparecerá pronto.
– Kevin Beaumont (@GossiTheDog) 3 de noviembre de 2019
Sin embargo, advierte Beaumont, puede que no sea necesario esperar más antes de que un ataque más serio golpee las máquinas Windows sin corregir. "Está claro que las personas ahora entienden cómo ejecutar ataques aleatorios de objetivos, y están comenzando a hacerlo", dijo. "Esta actividad no me preocupa, pero el sentido de mi araña tiene derecho a decir que empeorará más adelante".
Muchas empresas, organizaciones de salud y agencias gubernamentales de todo el mundo aún usan sistemas Windows heredados. Por lo tanto, son probablemente los más vulnerables a la amenaza.
Las correcciones para corregir la vulnerabilidad se pueden descargar desde el sitio web de Microsoft. Sin embargo, los sistemas operativos Windows 8 y Windows 10 son inmunes a la amenaza. Los propietarios también pueden deshabilitar los servicios de escritorio remoto en las computadoras para protegerse de esta vulnerabilidad.