Un millon de dispositivos siguen siendo vulnerables a una vulnerabilidad RDP "tipo gusano"

May 31, 2019

Un escaneo de todo Internet revelo que casi un millon de dispositivos son vulnerables a BlueKeep, la vulnerabilidad de Windows que tiene a la comunidad de seguridad en alerta maxima este mes.

BlueKeep es mas conocido como CVE-2019-0708, una vulnerabilidad que Microsoft anuncio en el martes del parche de mayo, que afecta a los servicios de escritorio remoto de Windows, a los que se puede acceder a traves del protocolo RDP. Esta permite la ejecucion de codigo remoto y es de tipo gusano, lo que significa que una maquina con Windows comprometida podria buscar e infectar otros dispositivos vulnerables sin interaccion humana. Los gusanos se pueden propagar rapidamente en linea, como vimos con el exploit de ransomware WannaCry en 2017.

BlueKeep afecta a las maquinas con Windows XP, Vista y 7, pero no a Windows 8 o 10. Esas versiones representan alrededor del 35% de las instalaciones de Windows, segun Statcounter. La vulnerabilidad tambien afecta a Windows Server 2003 y 2008.

El investigador de seguridad Rob Graham, realizo un proyecto de escaneo en dos partes para descubrir cuantas maquinas eran vulnerables a este preocupante problema. Comenzo a escanear todo Internet utilizando una herramienta de escaneo masivo para encontrar todos los dispositivos que respondian en el puerto 3389, el puerto que RDP usa habitualmente.

Luego, perfecciono los resultados al desarrollar un proyecto de escaneo de BlueKeep que termino la semana pasada con la herramienta de pentesting Metasploit. Su bifurcacion creo rdpscan, una herramienta disenada para recorrer rapidamente un gran conjunto de direcciones en busca de maquinas Windows vulnerables a BlueKeep.

Lo hizo utilizando Tor, pero dice que probablemente no fue el quien causo un aumento en los escaneos RDP, a traves del servicio de enrutamiento anonimo de la cebolla de la semana pasada:

GreyNoise is observing sweeping tests for systems vulnerable to the RDP “BlueKeep” (CVE-2019-0708) vulnerability from several dozen hosts around the Internet. This activity has been observed from exclusively Tor exit nodes and is likely being executed by a single actor. pic.twitter.com/iGwuGuD4Rq

— GreyNoise Intelligence (@GreyNoiseIO) May 25, 2019

Eso son mucho mas sistemas vulnerables a BlueKeep que los expuestos a la vulnerabilidad, que en su momento, permitio propagarse a WannaCry por todo el mundo en un solo dia.

Kevin Beaumont, el investigador de seguridad que le dio a BlueKeep su nombre, senalo que la cantidad de maquinas expuestas a Internet a traves de RDP es solo la punta del iceberg:

Spoiler: it will be way, way higher when you get to systems inside organisations.

— Kevin Beaumont (@GossiTheDog) May 28, 2019

Microsoft ha publicado parches para esta vulnerabilidad (aqui y aqui). El problema, al igual que con la vulnerabilidad CVE-2017-0144 que provoco WannaCry, es lograr que las personas los apliquen. Habia un parche disponible para CVE-2017-0144 dos meses antes de que WannaCry apareciera, pero aun asi causo estragos.

Por lo tanto, si aun no has aplicado el parche, es mejor que lo hagas lo antes posible, aconseja Paul Ducklin, Senior Technologies de Sophos:

La palabra “dia cero” comprensiblemente nos llena de temor, porque se refiere a un agujero explotable que ya esta siendo atacado, pero para el cual aun no existe un parche. !Asi que no conviertas los agujeros ya solucionados en dia cero para ti al no aplicar los parches existentes! Los ciberdelincuentes no solo te buscaran, sino que ya tendran las llaves de tu fortaleza.

Algunos parches tardios se deben a la falta de conocimiento, pero la complejidad tambien es un problema. Si tienes Windows XP Embedded ejecutandose en un equipo obsoleto que soporta un proceso critico, parchearlo es una perspectiva aterradora.

Si no puedes parchear de inmediato, hay otras cosas que puede hacer mientras tanto. Lo mas obvio es desactivar los servicios de escritorio remoto si no son necesarios, o al menos activar la autenticacion de nivel de red, si se necesita. Tambien puedes bloquear el puerto 3389 a nivel de firewall externo.

Los expertos coinciden en que un exploit en el mundo real es simplemente una cuestion de tiempo y varios proveedores de seguridad ya han demostrado codigo que funciona pero que no hacen publico.

La carrera por parchear esta en marcha.

Para manteneros al dia de las ultimas amenazas haceros fans de nuestra pagina de Facebook o siguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletin de seguridad en tu correo electronico, suscribete en la siguiente aplicacion: