Microsoft ha corregido una vulnerabilidad crítica en algunas versiones de Windows que puede ser explotada para crear un potente gusano. La vulnerabilidad, rastreada como CVE-2019-0708está situado en Servicios remotos Desktop. Debido a que el riesgo y la vulnerabilidad son "tan" altos, Microsoft incluso lanzó parches para Windows XP y Windows Server 2003, incluso cuando estas plataformas están fuera de soporte desde hace un año (incluso si todavía se utilizan).
Este post incluye extractos de un artículo de CSO Online "Microsoft urge a los clientes de Windows a parchear el fallo de RDP que puede provocar gusanos". Leer el artículo completo aquí.
Lo que hace que la vulnerabilidad sea tan peligrosa es que puede ser explotada de forma remota sin autenticación ni interacción con el usuario, simplemente enviando una solicitud RDP maliciosamente elaborada a un sistema vulnerable. Un ataque exitoso puede resultar en la ejecución de código malicioso en el sistema con plenos derechos de usuario, dando a los atacantes la capacidad de instalar programas, modificar o eliminar datos de usuario e incluso crear nuevas cuentas.
"En otras palabras, la vulnerabilidad es 'wormable', lo que significa que cualquier futuro malware que explote esta vulnerabilidad podría propagarse de ordenador vulnerable a ordenador vulnerable de forma similar a la WannaCry El malware se extendió por todo el mundo en 2017", dijo Simon Pope, director de Respuesta a Incidentes en el Centro de Respuesta de Seguridad de Microsoft, en un entrada del blog.
"Aunque no hemos observado ninguna explotación de esta vulnerabilidad, es muy probable que los actores maliciosos escriban un exploit para esta vulnerabilidad y lo incorporen a su malware."
El RDP ha sido un vector de infección popular para las amenazas de malware en el pasado, particularmente para el ransomware, los mineros de criptomonedas y los raspadores de memoria de puntos de venta. Los atacantes suelen robar o forzar las credenciales RDP para acceder a los sistemas. Por desgracia, demasiados entornos RDP se quedan sin el perímetro de seguridad adecuado, como demostró la investigación de Awingu en 2018 (por ejemplo Bélgica, Italia, Suecia).
Impacto en las plataformas legacy
La vulnerabilidad afecta a los servicios remotos Desktop de Windows 7, Windows Server 2008 R2 y Windows Server 2008, así como a las versiones legacy de Windows que han llegado al final de su vida útil. Además de las versiones de Windows soportadas, Microsoft decidió publicar actualizaciones de seguridad para Windows XP, Windows XP Embedded y Windows Server 2003, probablemente porque estas versiones de Windows se siguen utilizando ampliamente en entornos legacy y en equipos especializados como cajeros automáticos, dispositivos médicos, quioscos de autoservicio, terminales de puntos de venta y otros.
Resolver la vulnerabilidad con Awingu y las mejores prácticas
Con Awingu, los usuarios no tienen acceso directo a la infraestructura RDP. Todo se ejecuta a través de una conexión segura en el navegador. Por ello, muchas de las vulnerabilidades RDP no son un riesgo tan relevante. Sin embargo, lo mejor es actualizar los sistemas con el parche correspondiente lo antes posible. Además, Microsoft aconseja lo siguiente:
- Desactive los Servicios Remotos Desktop si no son necesarios. Si ya no necesita estos servicios en su sistema, considere la posibilidad de deshabilitarlos como mejor práctica de seguridad. Desactivar los servicios que no se utilizan o no son necesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad.
- Habilitar la autenticación a nivel de red (NLA) en sistemas que ejecutan ediciones compatibles de Windows 7, Windows Server 2008 y Windows Server 2008 R2
- Bloquee el puerto TCP 3389 en el cortafuegos perimetral de la empresa para evitar los ataques que se originan en Internet. (En el caso de Awingu, el 3389 no es necesario. El acceso a Internet se realiza a través del puerto 443 (https))
¿Quiere saber más y ver a Awingu en acción? Póngase en contacto con nosotros.
English 
Italian 
German 
Spanish 
French