ESET advierte sobre un exploit (porción de código que aprovecha deficiencias en programas para ejecutar comandos de forma externa) que se beneficia de un fallo en equipos sin actualizar. Si bien Microsoft ya lanzó un parche que corrige el error, si no se realiza la actualización, el exploit podría permitir a un atacante distribuir malware entre equipos vulnerables, similar a la forma en que se distribuyó WannaCry.
Microsoft aseguró que por el momento no se ha identificado explotación alguna pero consideran probable que cibercriminales terminen escribiendo algún exploit que aproveche esta vulnerabilidad para luego incorporarla a un malware. La compañía lanzó un parche para las versiones 2003 de Windows, así como para XP, Windows 7 y para las versiones de Windows Server 2008 y 2008 R2, sistemas que se ven afectados por este fallo.
La vulnerabilidad recibió el apodo de “BlueKeep” y la misma no requiere interacción por parte del usuario. Esto significa que podría permitir a un malware que se aproveche de este error propagarse entre computadoras vulnerables de manera similar a como lo hizo WannaCry en 2017. Según identificó el investigador Kevin Beaumont, existen actualmente cerca de 3 millones de endpoints RDP (las siglas por Protocolo de Escritorio Remoto en inglés) expuestos directamente a Internet.
“Con la instalación del parche que lanzó Microsoft los equipos dejan de ser vulnerables para este fallo. Igualmente, si analizamos lo que pasó con WannaCry, donde Microsoft lanzó el parche tiempo antes de que se produzca el brote, la realidad indica que pese a la alerta emitida y el llamado a actualizar, probablemente varios equipos que utilicen este sistema no serán actualizados.”, mencionó Camilo Gutiérrez, Jede del Laboratorio de Investigación de ESET Latinoamérica.
Un informe publicado por Forescout reveló que en Estados Unidos, el 71% de las computadoras que operan en las grandes instituciones médicas de aquel país utilizarán sistemas operativos que quedarán sin soporte de actualizaciones para el próximo 14 de enero de 2020. Esto es así debido a que Microsoft anunció que dejará de lanzar actualizaciones de seguridad de manera gratuita para Windows 7 como forma de impulsar a que los usuarios se actualicen a versiones más nuevas y seguras de su sistema operativo. “Es importante dimensionar la magnitud de esta decisión. Por ejemplo, si un fallo critico como el recientemente descubierto, que afecta a viejas versiones de Windows que siguen siendo muy utilizadas, ocurriera posterior a esa fecha, las consecuencias podrían ser muy serias.”, concluyó Gutiérrez.
Aquí algunos consejos para organizaciones y usuarios:
– Parchar. Si se ejecuta una versión compatible de Windows, actualizarla a la última versión. Si es posible, habilitar las actualizaciones automáticas. Si se continúa utilizando Windows XP o Windows Server 2003 no compatibles, por el motivo que sea, descargar y aplicar los parches lo antes posible
– Deshabilitar el protocolo de escritorio remoto. A pesar de que RDP no es vulnerable, Microsoft recomienda a las organizaciones deshabilitarlo hasta que se hayan aplicado los últimos parches. Además, para minimizar la superficie de ataque, RDP solo debe habilitarse en dispositivos donde realmente se usa y necesita.
– Configurar RDP correctamente. Si una organización debe utilizar RDP, evitar exponerlo a la Internet pública. Solo los dispositivos en la LAN, o que acceden a través de una VPN, deben poder establecer una sesión remota. Otra opción es filtrar el acceso RDP utilizando un firewall, que incluye solo un rango de IP específico. La seguridad de las sesiones remotas puede mejorarse aún más mediante el uso de la autenticación multifactor.
– Habilitar la autenticación de nivel de red (NLA). BlueKeep se puede mitigar parcialmente al tener habilitado el NLA (por las siglas en inglés de Autenticación a nivel de red), ya que requiere que el usuario se autentique antes de que se establezca una sesión remota y la falla se puede utilizar incorrectamente. Sin embargo, como agrega Microsoft, «los sistemas afectados aún son vulnerables a la explotación de ejecución remota de código (RCE – Remote Code Execution) si el atacante tiene credenciales válidas que se pueden usar para autenticar con éxito».
– Utilice una solución de seguridad confiable de múltiples capas que pueda detectar y mitigar los ataques que explotan la falla en el nivel de red.