Nueva vulnerabilidad en RDP de Windows, el parche de BlueKeep no funciona

Especialistas en seguridad de aplicación web publicaron los un informe detallando una nueva vulnerabilidad sin corregir en el protocolo de escritorio remoto (RDP) de Microsoft Windows. Identificada como CVE-2019-9510, esta vulnerabilidad podría permitir a los atacantes del lado del cliente eludir la pantalla de bloqueo en las sesiones de escritorio remoto.

La falla fue descubierta por el investigador de la Universidad Carnegie Mellon Joe Tammariello; en su reporte, el experto menciona que la falla existe debido a la función de escritorio remoto de Windows, que requiere que los usuarios ingresen con Autenticación Nivel Red (NLA), una medida de seguridad que Microsoft recomendó a sus usuarios para protegerse de la vulnerabilidad BlueKeep.

“Si una error de red desencadena una desconexión temporal de la sesión RDP mientras el cliente estaba conectado al servidor pero la pantalla de inicio estaba bloqueada, después de la reconexión se restaurará la sesión RDP sin pasar antes por la pantalla de bloqueo”, menciona el experto.

Las versiones posteriores a Windows 10 1803 y Windows Server 2019 son las que presentan esta vulnerabilidad, pues con la más reciente actualización cambió el manejo de las sesiones de Windows RDP basadas en NLA de manera que puede generarse un desempeño no esperado en el bloqueo de sesión, menciona el especialista en seguridad de aplicación web.

En su informe, el especialista describe el proceso de explotación de la vulnerabilidad en tres etapas:

  • El usuario objetivo se conecta a un sistema Windows 10 o Server vía RDP
  • El usuario bloquea su sesión y deja el dispositivo sin supervisión
  • El atacante con acceso al dispositivo puede interrumpir la conexión del usuario y obtener acceso a la sesión RDP sin necesidad de autenticarse

Acorde a los especialistas en seguridad de aplicación web del Instituto Internacional de Seguridad Cibernética (IICS), la explotación de esta vulnerabilidad es relativamente simple, pues el actor malicioso solamente requiere interrumpir la conexión de red en el sistema objetivo. Por otra parte, el ataque depende de que el hacker tenga acceso físico al sistema vulnerable, por lo que el alcance se reduce considerablemente.

La compañía fue notificada desde el pasado 9 de abril, pero respondió al informe de la falla mencionando que “este comportamiento no cumple con los criterios establecidos por el Centro de Seguridad de Microsoft para Windows”, por lo que la falla no será corregida, al menos por ahora.