El 13 de agostothBlueKeep (CVE-2019-0708) - la vulnerabilidad RDP sobre la que escribimos en nuestro anterior blogpost, atacó de nuevo. Los dos fallos de gusanos de noticias se llaman BlueKeep II y III (o como algunos lo llaman burlonamente, 'DejaBlue'). A diferencia de su predecesor, afectan a todas las versiones de Windows (incluido Server) a partir de Windows 7. Tanto Microsoft como los expertos en seguridad sugieren encarecidamente que los parches del sistema sean una prioridad en las listas de tareas de los administradores de sistemas.
¿Qué es el DejaBlue?
A diferencia del descubrimiento de BlueKeep I por parte del GCHQ, estas vulnerabilidades fueron descubiertas por los propios equipos de seguridad de Microsoft y se encuentran en la lista de Centro de respuesta de seguridad de Microsoft:
Cada una de estas fallas puede ser explotada por entidades maliciosas para secuestrar sistemas vulnerables sin ninguna forma de autenticación. En resumen, se envía un paquete de código a través de la red que da acceso inmediato al sistema sin necesidad de iniciar sesión. Además, la vulnerabilidad permite la propagación a otros múltiples sistemas u ordenadores conectados sin ninguna forma de interacción con el usuario, lo que hace de este un ataque de gusano.
Al tratarse de fallos de ejecución de código remoto en RDS, basta con estar en la misma red que una máquina sin parchear para que ésta sea atacada. Peor aún, si el endpoint RDP es de cara al público (algo que aconseja encarecidamente no), basta con que se acceda a él de forma remota para causar estragos. Un sistema impactado puede dar a los hackers la posibilidad de robar, borrar o modificar datos, así como instalar software (hostil) o ejecutar código dañino.
Póngale un parche antes de que se contagie.
El BlueKeep "original" afectaba a las versiones más antiguas de Remote Desktop Services, incluidos los sistemas legacy que han llegado al final de su vida útil. BlueKeep II y III, sin embargo, supone un problema para los sistemas más nuevos: "Las versiones de Windows afectadas son Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2," dice Simon Pope (Director de Respuesta a Incidentes, MSRC), "y todas las versiones compatibles de Windows 10, incluidas las versiones de servidor".
Los expertos en seguridad recomiendan dos cosas:
-
-
- Parchee sus sistemas lo antes posible, ya que el último parche de Windows impide que esta explotación sea posible. Windows ofrece actualizaciones automáticas por defecto, pero aquellos que lo hayan desactivado deben aplicar este parche
- Activar la autenticación a nivel de red (NLA). "Los sistemas afectados están mitigados contra el malware "gusano" o las amenazas de malware avanzado que podrían explotar la vulnerabilidad", dice Pope, "ya que NLA requiere la autenticación antes de que la vulnerabilidad pueda activarse".
-
Evite las vulnerabilidades del RDP con Awingu
Al igual que con BlueKeep I, Awingu puede ayudarle a protegerse contra este tipo de vulnerabilidades que pueden provocar gusanos. El acceso a RDP, suponiendo que no sea público, no se establece desde la máquina sino a través de HTTP mediante un navegador. En otras palabras, la máquina afectada no accede directamente a la infraestructura RDP - el dispositivo Awingu lo hace en su lugar. Esto implica que su RDP no tiene que estar expuesto públicamente para establecer una conexión con su Windows App Server desde cualquier lugar y a través de cualquier dispositivo.
En ese caso, Awingu actúa de la misma manera que un cortafuegos: mitiga el riesgo de que los atacantes accedan a tu punto final RDP e inicien el ataque. Con las medidas adecuadas, Awingu se convierte en el único punto de entrada a tu infraestructura y sus amplias medidas de seguridad (incluida la MFA integrada) mantendrán alejada a cualquier entidad maliciosa externa. Dicho esto, sigue siendo la mejor práctica actualizar tu sistema con los parches más recientes en todo momento para mantener la guardia contra los exploits comunes.
English 
Italian 
German 
Spanish 
French