Como já falamos em um post anterior, assim que os profissionais portaram as suas rotinas para o HomeOffice por conta do isolamento social causado pela COVID-19, os ataques cibernéticos cresceram de forma exponencial….e a “bola da vez” é o protocolo RDP, utilizado para acesso remoto a Sistema Operacional Windows.
Recentemente, uma vulnerabilidade importante do protocolo SMB, chamada SMBleed (CVE-2020-1206) foi descoberta e, provavelmente, explorada para expor servidores RDP da montadora Honda e da ENEL/Argentina. Em ambas as empresas foram encontradas evidências de atuação de Ransomwares da família EKANS/SNAKE. Vale lembrar que o Ransomware talvez seja o tipo de Malware que causa mais dano às corporações, pois tem como objetivo criptografar arquivos e pedir resgate em cripto-moeda.
E o que as 2 empresas têm em comum, já que são de segmentos completamente distintos? R: as 2 tinham servidores com RDP habilitado “de cara” para a Internet. Vale a pena sempre lembrar da importância vital do uso de VPNs e até Jump Servers para que o acesso remoto a ativos das empresas seja feito da forma mais segura possível.
Quanto ao SMBleed, a Microsoft já lançou um patch para resolver a vulnerabilidade e que as plataformas afetadas são:
- Microsoft Windows 10 – Versões 1903, 1909, e 2004
- Microsoft Windows Server 2019 – Versões 1903, 1909, e 2004
Não dá mole!! Tira esse RDP da Internet logo!!
Quer conectar à nossa instância do MISP? Manda um e-mail pra gente: contato@brunoodon.com.br .
Vem também saber do nosso curso de MISP, que acabou de ser lançado. Saber sobre as ameaças antes que elas virem incidentes é vital hoje em dia.
Grande abraço e até a próxima!!