Na sexta feira passada foi publicado um exploit para a até então teórica vulnerabilidade do protocolo RDP do Windows chamada de “bluekeep” que permite a um atacante remoto invadir um sistema vulnerável ganhando totais privilégios. Se você ainda não aplicou os patches da MS é bom fazê-lo imediatamente. Mas mesmo que você tenha aplicado é sempre bom testar se está funcionando mesmo e para isso o utilitário rdpscan por enquanto não tem substituto mais simples de usar.
Você executa informando a faixa de endereços que quer testar asim:
rdpscan 10.129.40.1-10.129.40.254
E ele responde com algo assim:
No exemplo, a máquina .203 ainda está vulnerável.
É importante sempre lembrar que você não se deve deixar enganar pelo termo “remoto” e pensar que isso envolve acesso à internet. Uma máquina vulnerável pode ser invadida por outra máquina infectada dentro de sua própria rede, sem qualquer intervenção do usuário na máquina vulnerável. Um usuário sem poderes de administrador numa máquina segura qualquer pode infectar uma máquina vulnerável dando poderes de administrador ao vírus nesta, que por sua vez tentará infectar outras. E lembrando também que ransonware nem precisa de permissões de administrador em lugar algum.
Qual é o comando pra testar num único pc?
Aqui não deu certo.
C:\Users\usuario\Desktop\rdpscan.exe 192.168.1.2
192.168.1.2 – UNKNOWN – no connection – timeout
Nem com 127.0.0.1.
Você ainda está usando XP/Windows 7/Windows 2008?
Windows 8 e 10 não são vulneráveis.
Ou você está com o serviço RDP desligado, o que é bem possível se for um PC doméstico.
Uso o Windows 7.
Você ainda pode ver se a atualização necessária está instalada na sua máquina. Um dos meios é usar o batch sugerido neste texto. Cole em um arquivo de extensão .bat e rode. O programa vai indicar se achou o update instalado.
Se o batch fechar abruptamente sem exibir nada, corrija as aspas nos três comandos “find”.
Ok, obrigado.
Pergunta besta… procurei aqui no PC com Windows XP e achei o KB4500331.log, então posso ficar sossegado que o esse buraco já foi tapado?
Não sei. Você pode tentar instalar manualmente para ter certeza. Mas se você não usa RDP, seguro mesmo é desligar o serviço.