Lo que necesita saber sobre el agujero de seguridad crítico que podría habilitar el próximo WannaCryptor
¿Recuerda el pánico que afectó a las organizaciones de todo el mundo el 12 de mayo de 2017 cuando una máquina tras otra mostró la pantalla de rescate de WannaCryptor? Bueno, podríamos tener un incidente similar en nuestras manos en los próximos días, semanas o meses si las empresas no actualizan o protegen sus sistemas Windows más antiguos de inmediato.
La razón es BlueKeep, una vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) crítica y configurable por un gusano en los Servicios de escritorio remoto que pronto podría convertirse en el nuevo vector para la propagación de malware. Un parche de Microsoft para sistemas operativos compatibles, así como algunos sistemas operativos no compatibles, ha estado disponible desde el 14 de mayo.
La vulnerabilidad de BlueKeep se encontró en Servicios de Escritorio Remoto (también conocido como Servicios de Terminal Server).
Si se explota con éxito en el futuro, podría permitir el acceso al equipo de destino a través de una puerta trasera sin credenciales o la interacción del usuario necesaria.
Para empeorar aún más las malas noticias, la vulnerabilidad es ‘wormable’. Esto significa que futuros exploits podrían usarlo para propagar malware dentro o fuera de las redes de manera similar a como se vio con WannaCryptor .
Tras el lanzamiento de Microsoft de estos últimos parches, los investigadores de seguridad pudieron crear varias pruebas de concepto funcionales, pero en el momento de redactar este documento, ninguno de ellos ha sido publicado públicamente y no hay casos conocidos que la falla se explote .
La falla, listada como CVE-2019-0708 , afecta a múltiples versiones en soporte y fuera de soporte de los sistemas operativos de Microsoft. Los usuarios de Windows 7, Windows Server 2008 R2 y Windows Server 2008 con las actualizaciones automáticas habilitadas están protegidos.
Microsoft también emitió actualizaciones especiales para dos versiones no compatibles, a saber, Windows XP y Windows Server 2003, que están disponibles a través de este sitio .
Windows 8 y Windows 10 no están afectados por la vulnerabilidad.
Microsoft no ha lanzado parches para Windows Vista, a pesar que esta versión también está afectada por la vulnerabilidad. La única solución aquí es deshabilitar el Protocolo de escritorio remoto (RDP) completamente o solo permitir su uso cuando se accede a través de VPN.
Es importante tener en cuenta que cualquier empresa que utilice un RDP mal configurado en Internet está poniendo en riesgo a sus usuarios y recursos. Además de las vulnerabilidades como BlueKeep, los atacantes también intentan atacar a la máquina y los sistemas internos de la empresa.
El caso BlueKeep se parece mucho a los eventos de hace dos años. El 14 de marzo de 2017, Microsoft lanzó correcciones para una vulnerabilidad de gusano en el protocolo del Bloque de mensajes del servidor (SMB), aconsejando a todos los usuarios que remenden sus máquinas de Windows de inmediato.
La razón de esto fue el exploit de EternalBlue , una herramienta maliciosa supuestamente diseñada y robada por la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés), dirigida a la brecha de SMB. Un mes después, EternalBlue se filtró en línea y en pocas semanas se convirtió en el vehículo para los dos ataques cibernéticos más dañinos de la historia reciente: WannaCry (ptor) y NotPetya (Diskcoder.C) .
Un escenario similar podría desarrollarse con BlueKeep dada su naturaleza gusano. En este momento, es solo una cuestión de tiempo hasta que alguien publique un exploit en funcionamiento o un autor de malware comience a vender uno en los mercados clandestinos. Si eso ocurriera, probablemente se volverá muy popular entre los cibercriminales menos calificados y también como un activo lucrativo para su creador.
BlueKeep también mostrará si las organizaciones de todo el mundo aprendieron una lección después de los grandes brotes de 2017 y mejoraron su postura de seguridad y las rutinas de parches.
En resumen, se aconseja a las organizaciones y usuarios:
- Parche, parche, parche . Si usted o su organización ejecutan una versión compatible de Windows, actualícela a la última versión. Si es posible, habilite las actualizaciones automáticas. Si sigue utilizando Windows XP o Windows Server 2003 no compatibles, por el motivo que sea, descargue y aplique los parches lo antes posible.
- Deshabilitar el protocolo de escritorio remoto. A pesar de que RDP no es vulnerable, Microsoft recomienda a la organización que lo deshabilite hasta que se hayan aplicado los últimos parches. Además, para minimizar la superficie de ataque, RDP solo debe habilitarse en dispositivos donde realmente se usa y necesita.
- Configurar RDP correctamente. Si su organización debe utilizar RDP, evite exponerlo a la Internet pública. Solo los dispositivos en la LAN, o que acceden a través de una VPN, deben poder establecer una sesión remota. Otra opción es filtrar el acceso RDP utilizando un cortafuegos, que incluye solo un rango de IP específico. La seguridad de sus sesiones remotas puede mejorarse aún más mediante el uso de la autenticación multifactor.
- Habilitar la autenticación de nivel de red (NLA) . BlueKeep se puede mitigar parcialmente al tener habilitado el NLA, ya que requiere que el usuario se autentique antes de que se establezca una sesión remota y la falla se puede utilizar incorrectamente. Sin embargo, como agrega Microsoft, «los sistemas afectados aún son vulnerables a la explotación de ejecución remota de código (RCE) si el atacante tiene credenciales válidas que se pueden usar para autenticar con éxito».
- Utilice una solución de seguridad confiable de múltiples capas que pueda detectar y mitigar los ataques que explotan la falla en el nivel de red.