Los exploits BlueKeep para RDP empiezan a aparecer en la red; COVIENE ACTUALIZAR YA para no sufrir un nuevo WannaCry

BlueKeep vulnerabilidad RDP

En los últimos años hemos podido vivir las mayores catástrofes en cuanto a seguridad en toda la historia de la informática. Graves vulnerabilidades que han dejado expuestos todos los servidores conectados a Internet, fallos de seguridad a nivel estructural de los procesadores y, además, malware tan peligroso que ha puesto en jaque la seguridad de prácticamente todos los usuarios, paralizando incluso a las empresas más grandes como hizo WannaCry, un ransomware que se aprovechaba de una vulnerabilidad en Windows para infectar los ordenadores, cifrar los datos y, además, expandirse como un gusano a través de toda la red.

Siempre insistimos en la importancia de actualizar Windows todos los meses tan pronto como aparezcan los nuevos parches de seguridad, tanto si se trata de parches de seguridad poco relevantes o de vulnerabilidades muy específicas como cuando se trata de fallos de seguridad graves que se pueden explotar de forma masiva como ocurre con los nuevos parches de seguridad de Microsoft lanzados este mismo mes.

Hace una semana os hablamos de los parches de seguridad de Microsoft correspondientes a mayo de 2019. Estos parches de seguridad solucionan en total 79 vulnerabilidades en todas las versiones de Windows con soporte, 19 de las cuales han sido consideradas como críticas. Sin embargo, una de estas vulnerabilidades tiene tal importancia que hasta Microsoft ha lanzado un parche especial para Windows XP, un fallo de seguridad en el protocolo RDP que podría dar lugar a un nuevo WannaCry.

BlueKeep, la vulnerabilidad en Escritorio Remoto que puede volver a causar un ataque masivo en Internet

BlueKeep es una vulnerabilidad, registrada como CVE-2019-0708, que afecta a los servicios de Escritorio Remoto de Microsoft que permite ejecutar código de forma remota en cualquier equipo, abriendo la puerta a la libre distribución de malware a través de Internet.

Aunque por motivos de seguridad no se facilitó mucha información sobre esta vulnerabilidad, algunos usuarios no tardaron mucho tiempo en crear pruebas de concepto que conseguían aprovechar esta vulnerabilidad para ejecutar código de forma remota en los sistemas infectados. Ahora, estas pruebas de concepto han empezado a convertirse en malware.

I get the CVE-2019-0708 exploit working with my own programmed POC (a very real dangerous POC).This exploit is very dangerous. For this reason i don´t will said TO ANYBODY OR ANY ENTERPRISE nothing about it. You are free of believe me or not,i dont care.https://t.co/o7wwEazgK0

— Valthek (@ValthekOn) May 18, 2019

Igual que han conseguido varios investigadores de seguridad, piratas informáticos han empezado a crear sus propios exploits diseñados para explotar esta vulnerabilidad en RDP. Estos exploits están diseñados para atacar los sistemas desde Windows XP hasta Windows 7, además de sus correspondientes versiones Server, desde 2003 hasta 2008 R2.

CVE-2019-0708 #BlueKeep – After many hours @ValthekOn was able to get a working PoC for this. We are not going to reveal technical details or release code. We urge everyone to PATCH – it is really nasty.. @Raj_Samani @John_Fokker @Seifreed @fr0gger_ @w3knight pic.twitter.com/W0aGXj2KTa

— Christiaan Beek (@ChristiaanBeek) May 18, 2019

Es cuestión de tiempo que los primeros exploits totalmente funcionales empiecen a circular por la red, buscando máquinas vulnerables de forma automática (ya existen varias herramientas para esto) e infectándose con algún malware, software espía e incluso con un ransomware, igual que WannaCry. Dada su naturaleza como gusano, una vez empiece la infección masiva ya no habrá forma de pararlo.

We analyzed the vulnerability CVE-2019-0708 and can confirm that it is exploitable.
We have therefore developed detection strategies for attempts to exploit it and would now like to share those with trusted industry parties.
Please contact: nomoreworm@kaspersky.com pic.twitter.com/pEzuEzok0d

— Boris Larin (@oct0xor) May 20, 2019

Cómo protegernos de BlueKeep y evitar un nuevo WannaCry

Hay dos formas diferentes de protegernos de BlueKeep y evitar una nueva amenaza masiva. La primera de ellas es, si no utilizamos los servicios de RDP, entonces podemos desactivar el Escritorio Remoto de manera que, al no estar disponibles, no puedan infectarnos. No recomendable, porque es una solución temporal, pero al menos estaremos protegidos.

La segunda, y la más recomendable, es actualizar nuestro ordenador. Aún hay muchos usuarios, tanto particulares como administradores de grandes empresas, que no actualizan sus ordenadores cuando salen las nuevas actualizaciones, y luego pasa lo que pasa, que lo terminamos lamentando cuando un ransomware, como WannaCry, infectó ordenadores a pesar de que el parche llevaba disponible desde hacía 3 meses.

Los parches para protegernos de esta vulnerabilidad en Escritorio Remoto los podemos encontrar en los siguientes enlaces:

Para Windows 7 y Server 2008 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Para Windows XP y Server 2003 https://support.microsoft.com/help/4500705

Los parches están disponibles para todos los usuarios a través de Windows Update, por lo que instalándolos tendríamos nuestro ordenador al día. Los usuarios de Windows XP tendrán que actualizar manualmente sus sistemas desde el enlace que mostramos anteriormente.

Ver información original al respecto en Fuente: