Um novo pacote de atualizações lançado pela Microsoft corrige uma série de vulnerabilidades no serviço de desktop remoto, semelhantes ao BlueKeep, que permite a execução de código remoto no Windows.

A Microsoft lançou um novo pacote de atualizações de segurança para o mês de agosto que corrige 93 vulnerabilidades, incluindo quatro ( CVE-2019-1181 , CVE-2019-1182 , CVE-2019-1222 e CVE-2019-1226 ) que estão presentes no serviço de desktop remoto do Windows e permitem a execução remota de código (RCE).

A empresa recomenda a instalação das últimas atualizações o mais rápido possível. Isso se deve à natureza dessas quatro falhas, pois, além de poderem ser exploradas remotamente e sem a necessidade de interação por parte da vítima, apresentam características semelhantes ao BlueKeep – exemplo disso é o fato de poderem permitir que o malware se propague automaticamente para outros computadores vulneráveis sem a necessidade de interação por parte da vítima (características do worm), semelhante à forma como o ransomware WannaCry se propagou em em 2017, causando diversos problemas.

Para explorar as duas primeiras falhas – que permitem a execução de código arbitrário – um atacante não autenticado só precisa enviar uma requisição especialmente projetada para o sistema alvo via RDP. Uma vez que o atacante consegue explorar a falha, ele pode então executar código no computador comprometido e instalar programas, visualizar e/ou modificar informações, e até mesmo criar novas contas com altos níveis de permissões.

Duas dessas vulnerabilidades (CVE-2019-1181 e CVE-2019-1182) afetam todas as versões do Windows 10, além das versões server 2019, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1 e Windows Server 2012 R2. Já as vulnerabilidades CVE-2019-1222 e CVE-2019-1226 afectam apenas as edições do Windows 10 e Windows Server.

Segundo a explicação do diretor de Resposta a Incidentes da Microsoft, Simon Pope, em um post , no caso das duas primeiras vulnerabilidades, “até agora não há nenhuma evidência de que essas falhas tenham sido descobertas anteriormente por terceiros”.

Por outro lado, “os sistemas que contam com a autenticação em nível de rede (NLA) habilitada terão parcialmente mitigado a possibilidade de serem afetados por uma ameaça avançada ou com características de worm que explore a vulnerabilidade, porque para isso, a ativação do NLA requer autenticação”, destacou Pope. No entanto, os sistemas afetados que não instalaram o último patch continuarão vulneráveis à exploração do RCE se um atacante obtiver as credenciais que lhe permitem realizar a autenticação”, acrescentou ele.