O que é o Bluekeep?
Bluekeep é o apelido dado à vulnerabilidade CVE-2019-0708, uma falha crítica no Remote Desktop Protocol (RDP) da Microsoft. Descoberta em maio de 2019, a vulnerabilidade permite execução remota de código sem autenticação – um atacante pode enviar requisições especialmente criadas para um sistema vulnerável e obter controle total sobre ele. Por sua gravidade e potencial de propagação automática (wormable), a Microsoft classificou o Bluekeep como crítico e recomendou que todos os administradores aplicassem o patch de segurança imediatamente.
Sistemas afetados
A vulnerabilidade afeta versões antigas do Windows que possuem o RDP habilitado, incluindo:
- Windows 7 SP1
- Windows Server 2008 R2 SP1
- Windows Server 2008 SP2
- Windows XP SP3
- Windows Vista (caso ainda em uso)
Versões mais recentes como Windows 8, Windows 10 e Windows Server 2012/2016/2019 não são afetadas pelo CVE-2019-0708.
Impacto potencial
O impacto do Bluekeep é comparável ao do EternalBlue (CVE-2017-0144), usado nos ataques WannaCry e NotPetya. Como a falha pode ser explorada sem necessidade de interação do usuário e permite a instalação de malware, ela representa um risco elevado para redes corporativas e servidores expostos na internet. Um ataque bem-sucedido pode levar à perda de dados, instalação de ransomware e comprometimento total do sistema.
Como verificar se o sistema está vulnerável
Para verificar se uma máquina com Windows está vulnerável ao Bluekeep, é possível consultar o número da versão do sistema operacional e a data de instalação das atualizações. No Windows 7, por exemplo, a presença do KB4499164 indica que o patch foi aplicado. Ferramentas de varredura como o scanner de vulnerabilidades do Microsoft Baseline Security Analyzer (MBSA) ou soluções de segurança de terceiros também podem identificar a ausência da correção. Além disso, recomenda-se revisar as configurações de firewall para garantir que a porta 3389 (RDP) não esteja acessível a partir da internet.
Mitigação e proteção
As principais medidas de mitigação incluem:
- Aplicar o patch de segurança MS19-038 (KB4499164 ou atualizações posteriores) disponibilizado pela Microsoft em maio de 2019.
- Desabilitar o protocolo RDP em máquinas que não necessitam de acesso remoto.
- Utilizar firewalls e VPNs para restringir o acesso ao RDP a redes confiáveis.
- Habilitar a Autenticação em Nível de Rede (NLA) para exigir autenticação antes da sessão.
- Manter sistemas operacionais atualizados com os patches de segurança mais recentes.
Links relacionados
Veja também outras notícias sobre vulnerabilidades e segurança no 13SEC NEWS: