BlueKeep trae de vuelta una amenaza mundial

Hace justo dos años que WannaCry sacudió al mundo afectando millones de ordenadores y generando perdidas de información, pero recordaran que dos meses antes de este gran incidente Microsoft había publicado el parche MS17-010 que corregía una vulnerabilidad detectada en el servicio de SMB con el que millones de dispositivos comparten información entre ellas y algunos expuestos directamente en Internet.

Bueno como si fuera una cosa de conspiración, para la misma fecha de esos sucesos se nos presenta un escenario similar, donde Microsoft habla de una amenaza que han llamado BlueKeep y publica un parche para corregir dicha vulnerabilidad, que se ha marcado como la CVE-2019-0708, la cual aprovecha una vulnerabilidad en el servicio de escritorio remoto (RDP – Remote Desktop Protocol) y que es usado por millones de personas en todo el mundo para gestionar remotamente equipos Windows.

¿Por qué es tan grave?

Se detecto que al enviar paquetes especialmente construidos a un equipo que tenga publico el servicio de escritorio remoto, usualmente en el puerto 3389, el sistema salta los procesos que autentifican al usuario y le permite al atacante tomar control administrativo de la maquina sin la necesidad de interacción con el usuario.

Esta debilidad del código se encuentra desde las versiones instaladas en Windows XP hasta el actual Windows Server 2008 R2, por lo que Microsoft publico la corrección incluso para sistemas operativos que ya no tienen soporte como Windows XP y Windows Server 2003. generando así condiciones similares a las que permitieron que WannaCry se propagara sin control.

Hoy se detectan a través de Shodan más de 2 millones de maquinas de estas versiones de Windows en Internet que tienen el puerto 3389 expuesto, lo que entrega un escenario temible en caso de que se propague una forma de explotación.

¿Ya empezaron a explotar la vulnerabilidad?

De forma publica no se han encontrado programas orientados directamente a explotar la vulnerabilidad. Sin embargo, en GitHub ya se empiezan a encontrar PoC’s que permiten determinar hacer pruebas de la vulnerabilidad en diferentes versiones de Windows.

El 4 de junio la agencia nacional de seguridad de los Estados Unidos (NSA) genero un comunicado de advertencia en ciberseguridad, haciendo un llamado a la urgencia de que todas las personas instalen el parche publicado por Microsoft y con esto mitigar una posible propagación de ataques de ransomware, cryptominner u otros, a través de gusanos que usen esta vulnerabilidad. 

Adicionalmente, el 7 de junio la SANS publico un estudio de una Botnet llamada GoldBrute, la cual a través de fuerza bruta se especializa en tomar control de sistemas con el servicio de escritorio remoto publico y que según el informe tiene más de un millón y medio de maquinas comprometidas. Sin embargo, su comportamiento no es del todo claro y permite ver que puede ser una estrategia para no llamar la atención de los investigadores de seguridad y así poder explotar la vulnerabilidad de BlueKeep y quedar con el control de estas maquinas.

¿Como prevenir caer en esto?

Como lo indica Microsoft y la NSA, es importante validar la necesidad de tener este servicio disponible  y en caso de no ser necesario darle de baja en todos los equipos de la red. Pero esto aunque suene muy simple, en la practica no lo es tanto, como lo demostraron varios encargados de seguridad cuando se hablo de lo que habían aprendido sobre WannaCry.

En muchos casos por las mismas necesidades del negocio o simplemente porque no se puede determinar con total precisión cuantos equipos pueden tener este servicio disponible, por lo tanto es fundamental garantizar que todas las maquinas tengan instalado el parche y validar que este servicio no se exponga directamente a Internet.

En caso de requerir que este servicio este publicado se puede habilitar que requiera autenticación a nivel de red (NLA), con el fin de que en caso de un posible ataque que intente aprovechar la vulnerabilidad de BlueKeep no pueda ejecutarse por esta medida de validación de credenciales.

Aun no ha pasado nada, pero la experiencia vivida con WannaCry y NotPetya debe servir para que los equipos de seguridad de las empresas hagan entender a las juntas directivas que esto no es cuestión únicamente de ellos, sino que se requiere del apoyo de todos en la organización, para que una amenaza de estas no se propague por un acceso no controlado o desconocido, o por la falta de implementar un parche de seguridad por temor a un daño en producción.

La entrada BlueKeep trae de vuelta una amenaza mundial aparece primero en Globb Security.