Un millón de dispositivos siguen siendo vulnerables a una vulnerabilidad RDP “tipo gusano”

6 junio, 2019
19 Compartido 2,518 Visualizaciones

Un escaneo de todo Internet reveló que casi un millón de dispositivos son vulnerables a BlueKeep, la vulnerabilidad de Windows que tiene a la comunidad de seguridad en alerta máxima este mes.

BlueKeep es más conocido como CVE-2019-0708, una vulnerabilidad que Microsoft anunció en el martes del parche de mayo, que afecta a los servicios de escritorio remoto de Windows, a los que se puede acceder a través del protocolo RDP. Esta permite la ejecución de código remoto y es de tipo gusano, lo que significa que una máquina con Windows comprometida podría buscar e infectar otros dispositivos vulnerables sin interacción humana. Los gusanos se pueden propagar rápidamente en línea, como vimos con el exploit de ransomware WannaCry en 2017.

BlueKeep afecta a las máquinas con Windows XP, Vista y 7, pero no a Windows 8 o 10. Esas versiones representan alrededor del 35% de las instalaciones de Windows, según Statcounter. La vulnerabilidad también afecta a Windows Server 2003 y 2008.

El investigador de seguridad Rob Graham, realizó un proyecto de escaneo en dos partes para descubrir cuántas máquinas eran vulnerables a este preocupante problema. Comenzó a escanear todo Internet utilizando una herramienta de escaneo masivo para encontrar todos los dispositivos que respondían en el puerto 3389, el puerto que RDP usa habitualmente.

Luego, perfeccionó los resultados al desarrollar un proyecto de escaneo de BlueKeep que terminó la semana pasada con la herramienta de pentesting Metasploit. Su bifurcación creó rdpscan, una herramienta diseñada para recorrer rápidamente un gran conjunto de direcciones en busca de máquinas Windows vulnerables a BlueKeep.

Microsoft ha publicado parches para esta vulnerabilidad. El problema, al igual que con la vulnerabilidad CVE-2017-0144 que provocó WannaCry, es lograr que las personas los apliquen. Había un parche disponible para CVE-2017-0144 dos meses antes de que WannaCry apareciera, pero aún así causó estragos.

Por lo tanto, si aún no has aplicado el parche, es mejor que lo hagas lo antes posible, aconseja Paul Ducklin, Senior Technologies de Sophos: »La palabra “día cero” comprensiblemente nos llena de temor, porque se refiere a un agujero explotable que ya está siendo atacado, pero para el cual aún no existe un parche. ¡Así que no conviertas los agujeros ya solucionados en día cero para ti al no aplicar los parches existentes! Los ciberdelincuentes no solo te buscarán, sino que ya tendrán las llaves de tu fortaleza».

Algunos parches tardíos se deben a la falta de conocimiento, pero la complejidad también es un problema. Si tienes Windows XP Embedded ejecutándose en un equipo obsoleto que soporta un proceso crítico, parchearlo es una perspectiva aterradora.

Si no puedes parchear de inmediato, hay otras cosas que puede hacer mientras tanto. Lo más obvio es desactivar los servicios de escritorio remoto si no son necesarios, o al menos activar la autenticación de nivel de red, si se necesita. También puedes bloquear el puerto 3389 a nivel de firewall externo.

Los expertos coinciden en que un exploit en el mundo real es simplemente una cuestión de tiempo y varios proveedores de seguridad ya han demostrado código que funciona pero que no hacen público.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

El 60% de las pymes que sufren un ciberataque desaparece seis meses después
Actualidad
1554 visualizaciones
Actualidad
1554 visualizaciones

El 60% de las pymes que sufren un ciberataque desaparece seis meses después

Samuel Rodríguez - 17 enero, 2020

Las empresas cuentan con un seguro de incendio, de inundación o de robo, pero son muy pocas las que cuentan…

Aumenta la demanda de los seguros ciber
Alan Abreu
9 compartido1,966 visualizaciones
Alan Abreu
9 compartido1,966 visualizaciones

Aumenta la demanda de los seguros ciber

Redacción - 1 junio, 2020

Alan Abreu, Responsable de riesgos cibernéticos de Hiscox Durante estos días hemos visto cómo el interés hacia el seguro para…

Exclusive Networks fortalece la protección del Directorio Activo con la tecnología de Alsid
Actualidad
6 compartido1,140 visualizaciones
Actualidad
6 compartido1,140 visualizaciones

Exclusive Networks fortalece la protección del Directorio Activo con la tecnología de Alsid

Aina Pou Rodríguez - 11 junio, 2020

Alsid es una solución automatizada y completa que monitoriza la seguridad de cualquier componente del Directorio Activo en tiempo real…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.