Vulnerabilidad crítica de acceso remoto en versiones anteriores a Windows 10

Hace un par de semanas Microsoft lanzó un parche de seguridad para corregir una vulnerabilidad de ejecución remota de código en el Protocolo de Escritorio Remoto (RDP); ahora, especialistas en auditoría informática reportan que aún hay cerca de un millón de sistemas Windows vulnerables a la explotación de esta falla.

De ser explotada, la vulnerabilidad podría generar serias consecuencias a nivel mundial; los especialistas en auditoría informática consideran que esta falla tiene un potencial destructivo tan grande como las campañas de ataque de ransomware WannaCry y NotPetya en 2017.

La vulnerabilidad CVE-2019-0708, conocida entre los especialistas como “BlueKeep”, afecta a las versiones de Windows 2003, XP, Windows 7, además de Windows Server 2008.

Según se ha reportado, la falla permitiría a un atacante remoto ejecutar código arbitrario para apoderarse de una máquina comprometida, sólo requiere enviar solicitudes especialmente diseñadas al servicio de escritorio remoto de Windows; la interacción del usuario no es necesaria. Hasta ahora no se conoce ningún código de prueba de concepto para explotar esta vulnerabilidad, aunque algunos expertos afirman haber desarrollado exploits funcionales.

Acorde a los expertos, la vulnerabilidad podría permitir que el malware encuentre la forma de propagarse a través de los sistemas vulnerables, del mismo modo que WannaCry. La compañía lanzó el parche para corregir la falla en su paquete de actualizaciones de mayo. No obstante, acorde a los expertos en auditoría informática afirman que aún existen alrededor de 950 mil equipos con sistema operativo Windows que no han instalado las actualizaciones, por lo que siguen siendo vulnerables a la explotación de BlueKeep.

Los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) consideran que este es un serio problema pues, por ahora, el lanzamiento de parches de actualización es la forma más rápida de corregir vulnerabilidades de seguridad, pero depende de que los administradores de sistemas instalen las actualizaciones a la brevedad, de otro modo, las fallas aún son explotables.

En caso de que ahora mismo no le sea posible instalar las actualizaciones, los expertos recomiendan:

  • Deshabilitar los servicios de escritorio remoto si no se emplean
  • Bloquear el puerto 3389 implementando un firewall
  • Habilitar la autenticación a nivel de red (NLA)
(Visited 190,1 times)