# CVE-2019-0708 - BlueKeep: RCE Wormable no Windows Remote Desktop Services > [!high] CVE-2019-0708 — BlueKeep é uma vulnerabilidade crítica wormable no protocolo RDP do Windows, capaz de se propagar automaticamente entre sistemas sem interação do usuário, similar ao WannaCry. ## Visão Geral CVE-2019-0708, amplamente conhecida como **BlueKeep**, é uma vulnerabilidade de execução remota de código no serviço Remote Desktop Services (RDS) do Windows. Afeta sistemas legados como Windows XP, Windows 7 e Windows Server 2008, permitindo que um atacante não autenticado execute código arbitrário simplesmente enviando requisições RDP especialmente elaboradas para a porta 3389. A falha reside no canal de comunicação "MS_T120", que é vinculado a um endereço de memória fixo. Ao explorar esse canal, um atacante pode corromper a memória do kernel e obter execução de código no contexto do sistema. O caráter **wormable** da vulnerabilidade — propagação sem qualquer ação do usuário — levou a Microsoft a emitir patches até para sistemas fora do suporte oficial, como Windows XP e Server 2003. Embora a exploração em larga escala não tenha se materializado com o impacto do WannaCry, módulos públicos de exploit foram desenvolvidos para o Metasploit Framework, tornando o vetor acessível a atacantes com baixa sofisticação técnica. Organizações com sistemas Windows legados expostos à internet, comuns em infraestruturas industriais e órgãos governamentais brasileiros, permanecem em risco. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Use-After-Free no kernel RDP | | Autenticação | Não requerida (pré-autenticação) | | Canal afetado | MS_T120 | | Porta | TCP 3389 | | Wormable | Sim — propagação automática sem usuário | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração de serviço exposto públicamente - [[t1021-002-smb-windows-admin-shares|T1021.002]] - Movimento lateral via protocolos remotos - [[t1059-powershell|T1059.001]] - Execução de payload pós-exploit - [[t1190-exploit-public-facing-application|T1210]] - Exploração de serviços remotos (lateral) ## Detecção e Defesa **Mitigações recomendadas:** - Aplicar o patch de segurança imediatamente (disponível inclusive para XP/2003) - Desabilitar serviços RDP quando não essenciais - Habilitar Network Level Authentication (NLA) — bloqueia vetores não autenticados - Segmentar redes para isolar sistemas legados - Monitorar tráfego anômalo na porta TCP 3389 **Detecção:** - [[t1046-network-service-scanning|T1046]] — Scanning em massa na porta 3389 pode indicar reconnaissance - Monitorar tentativas de conexão RDP sem autenticação NLA ## Referências - [Microsoft Security Advisory CVE-2019-0708](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2019-0708) - [CISA BlueKeep Advisory](https://www.cisa.gov/news-events/alerts/2019/05/14/microsoft-releases-security-updates-remote-desktop-services) - [Metasploit Module - BlueKeep](https://www.rapid7.com/db/modules/exploit/windows/rdp/cve_2019_0708_bluekeep_rce/)