Clicky

Casi 1 millón de computadoras son aún vulnerables al 'wormable' BlueKeep de RDP

BlueKeep

Podría propagarse automáticamente en sistemas no protegidos

Aún no se han parcheado casi 1 millón de sistemas Windows y se han encontrado vulnerables a una vulnerabilidad de ejecución remota de código crítico, gusano y recientemente revelada en el Protocolo de escritorio remoto (RDP) de Windows, dos semanas después de que Microsoft lanzase el parche de seguridad.

Si se explota, la vulnerabilidad podría permitir que un atacante cause fácilmente estragos en todo el mundo, potencialmente mucho peor que lo que hicieron WannaCry y NotPetya como los ataques wormable en 2017*.

Denominada BlueKeep y rastreado como CVE-2019-0708, la vulnerabilidad afecta a las ediciones Windows 2003, XP, Windows 7, Windows Server 2008 y 2008 R2 y podría propagarse automáticamente en sistemas no protegidos.

La vulnerabilidad podría permitir a un atacante remoto no autenticado ejecutar código arbitrario y tomar el control de una computadora específica simplemente enviando solicitudes especialmente diseñadas al Servicio de escritorio remoto (RDS) del dispositivo a través del RDP, sin necesidad de interacción por parte del usuario.

Al describir la vulnerabilidad de BlueKeep como Wormable, que podría permitir que el malware se propague a sistemas vulnerables como WannaCry, Microsoft lanzó un parche de seguridad para solucionar la vulnerabilidad con sus actualizaciones de mayo de 2019.

Sin embargo, la última exploración de Internet realizada por Robert Graham, jefe de la firma de investigación de seguridad ofensiva Errata Security, reveló que, desafortunadamente, aproximadamente 950.000 máquinas de acceso público en Internet son vulnerables al error BlueKeep.

Esto significa claramente que incluso después de que se haya instalado el parche de seguridad, no todos los usuarios y organizaciones lo han implementado para abordar el problema, lo que representa un riesgo masivo para las personas y las organizaciones, incluidos los entornos industriales y de salud.

Graham usó "rdpscan", una herramienta de escaneo rápido que construyó sobre su masscan port scanner que puede escanear todo el Internet en busca de sistemas aún vulnerables a la vulnerabilidad de BlueKeep, y encontró un total de 7 millones de sistemas que estaban escuchando en el puerto 3389, de los cuales Alrededor de 1 millón de sistemas siguen siendo vulnerables.

"Es probable que los hackers descubran un agujero en el próximo mes o dos y causen estragos en estas máquinas", dice el investigador.

"Eso significa que cuando el gusano golpee, es probable que comprometa esos millones de dispositivos. Esto probablemente llevará a un evento tan dañino como WannaCry, y notPetya a partir de 2017 - potencialmente peor, ya que los hackers han perfeccionado sus habilidades explotando estas cosas en busca de ransomware y otras desagradables".

La vulnerabilidad BlueKeep tiene tanto potencial para causar estragos en todo el mundo que forzó a Microsoft a lanzar parches no solo para las versiones de Windows compatibles, sino también para Windows XP, Windows Vista y Windows Server 2003, que ya no reciben el soporte general de la empresa, pero que aún son ampliamente usados.

No solo investigadores, hackers malintencionados y ciberdelincuentes también han comenzado a escanear Internet en busca de sistemas vulnerables de Windows para atacarlos con malware, dijo GreyNoise Intelligence.

"GreyNoise está observando pruebas de barrido para sistemas vulnerables a la vulnerabilidad de RDP "BlueKeep" (CVE-2019-0708) desde varias docenas de hosts en Internet. Esta actividad se ha observado exclusivamente en los nodos de salida de Tor y es probable que sea ejecutada por un solo actor ",dice el tweet.

Sin embargo, afortunadamente, hasta el momento, ningún investigador de seguridad ha publicado públicamente ningún código de prueba de concepto para BlueKeep, aunque algunos de ellos han confirmado que han desarrollado con éxito un exploit funcional.

¿Sigues esperando que te diga lo que debes hacer a continuación? Ve y corrige la maldita vulnerabilidad si estás usando uno de ellos.

Si antes no es posible solucionar el error en tu organización, entonces puedes tomar estas medidas:

• Deshabilita los servicios RDP, si no son necesarios.
• Bloquea el puerto 3389 utilizando un firewall o hazlo accesible solo a través de una VPN privada.
• Habilita la autenticación de nivel de red (NLA): esta es una mitigación parcial para evitar que cualquier atacante no autenticado explote esta falla Wormable.

(*) La vulnerabilidad es 'wormable', significa que cualquier malware futuro que explote esta vulnerabilidad podría propagarse de una computadora vulnerable a otra vulnerable de manera similar a como el malware WannaCry se difundió por todo el mundo en 2017.

Jesus_Caceres