Llegamos a ustedes gracias a:



Alertas de Seguridad

Microsoft insta a los clientes de Windows

A que reparen una vulnerabilidad en RDP

[16/05/2019] Microsoft ha corregido una vulnerabilidad crítica en algunas versiones de Windows que se puede explotar para crear un poderoso gusano. La compañía incluso dio el inusual paso de lanzar parches para Windows XP y Windows Server 2003, que no han sido soportados en años, porque cree que la amenaza es muy alta.

La vulnerabilidad, conocida como CVE-2019-0708, se encuentra en Remote Desktop Services, anteriormente conocido como Terminal Services. Este componente gestiona las conexiones a través del Protocolo de Escritorio Remoto (RDP), un protocolo ampliamente utilizado para la gestión remota de sistemas Windows en redes corporativas.

Lo que hace que la vulnerabilidad sea tan peligrosa es que se puede explotar de forma remota sin necesidad de autenticación ni interacción del usuario, simplemente enviando una solicitud de RDP maliciosamente diseñada a un sistema vulnerable. Un ataque exitoso puede resultar en la ejecución de código malicioso en el sistema con todos los derechos de usuario, dando a los atacantes la capacidad de instalar programas, modificar o eliminar datos de usuario e incluso crear nuevas cuentas.

"En otras palabras, la vulnerabilidad es 'wormable', lo que significa que cualquier malware futuro que explote esta vulnerabilidad podría propagarse de una computadora vulnerable a una computadora vulnerable de forma similar a como se propagó el malware de WannaCry por todo el mundo en el 2017", señaló Simon Pope, director de Incident Response del Microsoft Security Response Center, en una entrada de blog. "Aunque no hemos observado ninguna explotación de esta vulnerabilidad, es muy probable que los actores maliciosos escriban un exploit para esta vulnerabilidad y lo incorporen a su malware.

WannaCry no explotó una vulnerabilidad en RDP, sino en la implementación de Microsoft de SMB, un protocolo de autenticación y compartición de archivos que se utiliza en todas las redes Windows y que está habilitado por defecto. Aunque los ataques son diferentes, la analogía de Pope con WannaCry se basa en la facilidad de explotación -remotamente sin autenticación- y la popularidad de ambos protocolos.

En el pasado, el RDP ha sido un vector de infección popular para las amenazas de malware, en particular para el ransomware, los criptógrafos y los rascadores de memoria en el punto de venta. Por lo general, los atacantes roban o hacen fuerza bruta sobre las credenciales de RDP para obtener acceso a los sistemas.

A principios de este año, el FBI cerró un mercado clandestino llamado xDedic que se usaba para vender acceso RDP a decenas de miles de servidores comprometidos en el transcurso de varios años. Los precios oscilaban entre seis y 10 mil dólares, según la ubicación geográfica del servidor, el sistema operativo y otros criterios. Esta nueva vulnerabilidad RDP proporcionaría a los atacantes acceso gratuito a un número aún mayor de servidores y sistemas.

Sistemas Windows heredados en peligro

La vulnerabilidad afecta a Remote Desktop Services en Windows 7, Windows Server 2008 R2 y Windows Server 2008, así como en versiones anteriores de Windows que han llegado al final de su vida útil. Además de las versiones compatibles con Windows, Microsoft decidió lanzar actualizaciones de seguridad para Windows XP, Windows XP Embedded y Windows Server 2003, probablemente porque estas versiones de Windows todavía se utilizan ampliamente en entornos heredados y en equipos especializados como cajeros automáticos, dispositivos médicos, quioscos de autoservicio, terminales de punto de venta y más.

Cabe destacar que los destructivos gusanos WannaCry y NotPetya explotaron vulnerabilidades conocidas que tenían parches disponibles cuando se produjeron; sin embargo, los ataques continuaron interrumpiendo las operaciones normales en hospitales, plantas de producción, puertos, ferrocarriles y muchas empresas de todo el mundo. Esto se debe a que muchos sistemas y dispositivos heredados se utilizan para ejecutar procesos críticos, por lo que incluso cuando los parches están disponibles, es posible que sus propietarios no los apliquen durante mucho tiempo porque no pueden permitirse el tiempo de inactividad.

En ausencia de parches inmediatos, los propietarios de estos sistemas deberían adoptar un enfoque más profundo de defensa, colocando estos dispositivos en segmentos de red aislados, desactivando los servicios que no son necesarios y utilizando soluciones VPN seguras para acceder a ellos de forma remota.

"Deshabilitar los servicios de Escritorio Remoto si no son necesarios", señaló Microsoft en su aviso. "Si ya no necesita estos servicios en su sistema, considere desactivarlos como una práctica recomendada de seguridad. Deshabilitar los servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad".

Microsoft también sugiere dos soluciones para bloquear los ataques que podrían tener como objetivo esta vulnerabilidad de RDP: Habilitación de la autenticación a nivel de red (NLA) en sistemas que ejecutan ediciones compatibles de Windows 7, Windows Server 2008 y Windows Server 2008 R2; y bloqueo del puerto TCP 3389 en el firewall perimetral de la empresa para evitar ataques que se originan en Internet.