Bluekeep ha fatto danni, ora ci sono le prove. Si tratta di un bug di tipologia warmable che potenzialmente permettere attacchi con esecuzione di codice da remoto. Di questo teorico exploit si era parlato la scorsa in primavera in seguito alla scoperta di una vulnerabilità relativa al Remote Desktop Protocol (Rdp, quello che consente di connettere da remoto un sistema a un altro) su Windows Xp, Vista, 7, Server 2003, 2008 e 2008 R2.
Dopo il rilascio delle patch da parte di Microsoft, a maggio, si era poi tornati a parlare della questione nei mesi estivi per via della scoperta di nuove varianti (definite Bluekeep II e III), sfruttabili per lanciare attacchi con esecuzione di codice da remoto su Pc o server basati su Windows. E anche in quel caso erano arrivate le patch.
Qualche giorno fa per la prima volta i rischi teorici di Bluekeep si sono concretizzati. Kevin Beaumont, un esperto di cybersicurezza britannico, ha detto di avere le prove di attacchi reali basati sull’exploit: i log registrati dagli honeypot approntati da mesi proprio per rilevare attività di questo tipo. A detta del ricercatore, al primo attacco avvenuto il 23 ottobre ne sono seguiti altri, il cui scopo è stata l’installazione di un miner di criptovaluta.
Potrebbe sembrare una minaccia tutto sommato secondaria, ma Microsoft ha fatto sapere che gli episodi rilevati sono in crescita e che la possibilità di attacchi più aggressivi è all’orizzonte. E potenzialmente sono esposti, secondo il sito BinaryEdge, oltre 700mila sistemi vulnerabili. “Non ci sono stati attacchi verificati riguardanti ransowmare altri tipi di malware al momento in cui scriviamo”, ha comunicato Microsoft, “ma l’exploit Bluekeep probabilmente verrà usato per distribuire payload di estrattori di valuta più dannosi e d’impatto. Non possiamo escludere miglioramenti che probabilmente porteranno ad attacchi più efficaci”. Il consiglio è dunque quello di verificare di aver installato sui dispositivi Windows e Windows Server le ultime patch disponibili.