Bluekeep è tornato, e minaccia i dispositivi Windows. Microsoft ha scoperto e segnalato l’esistenza di due nuove versioni del bug che mesi fa ha messo a rischio un milione di Pc Windows, definito wormable poiché capace di replicarsi in autonomia sui dispositivi. L’originale Bluekeep è stato neutralizzato da una patch rilasciata dalla società di Redmond lo scorso maggio, ma due “parenti” di questa vulnerabilità sono stati scoperti ora e, anche in questo caso, corretti con patch. Bluekeep II e Bluekeep III (così sono stati battezzati) possono essere sfruttati per lanciare attacchi con esecuzione di codice da remoto.
Secondo quanto spiegato da Microsoft, l’azienda si è accorta di questi due problemi mentre lavorava su alcune procedure di sicurezza dei Remote Desktop Services di Windows. Al pari dell’originale Bluekeep, anche le due vulnerabilità scoperte ora (CVE-2019-1181 e CVE-2019-1182) sono wormable e risiedono nel pacchetto dei Remote Desktop Services. A differenza della prima versione, tuttavia, non possono essere sfruttate attraverso il Remote Desktop Protocol, che veicola i servizi in questione.
Le versioni del sistema operativo interessate dal problema sono tutte le edizioni attualmente supportate di Windows 10, sia per Pc sia per server, oltre a Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1 e Windows Server 2012 R2. Al contrario, il fatto non riguarda Windows XP, Windows Server 2003 e Windows Server 2008. Ma c’è di più: Microsoft ha diffuso un’allerta in cui segnala che il codice di Bluekeep è ormai diffuso su larga scala e disponibile per chi voglia sferrare attacchi diretti alle versioni più vecchie di Windows, quelle non protette da aggiornamenti. Dunque è importante installare la patch rilasciata lo scorso maggio.
Inoltre l’attivazione di una Network Level Authentication funziona come parziale mitigazione di malware che potrebbero sfruttare le vulnerabilità, dato che per scatenare l’attacco sarebbe necessario autenticarsi sulla rete di cui fa parte il dispositivo. I sistemi Windows restano vulnerabili se chi attacca dispone di credenziali valide, ma attivare una procedura di autenticazione sulla rete è fortemente consigliabile. A detta di Microsoft, circa 400mila endpoint Windows attualmente non sono protetti da alcuna forma di Network Level Authentication.