Y cuando las barbas de tu vecino veas afeitar … un poco de historia sobre la vulnerabilidad BLUEKEEP nos puede ir bien

Historia de la vulnerabilidad BLUEKEEP

La vulnerabilidad de seguridad BlueKeep fue notada por primera vez por el Centro Nacional de Seguridad Cibernética del Reino Unido [2] y, el 14 de mayo de 2019, informó Microsoft. La vulnerabilidad fue nombrada BlueKeep por el experto en seguridad informática Kevin Beaumont en Twitter. BlueKeep se rastrea oficialmente como: CVE-2019-0708 y es una vulnerabilidad de ejecución remota de código ‘wormable’. [5] [6]

Tanto la Agencia de Seguridad Nacional de EE. UU. (Que emitió su propio aviso sobre la vulnerabilidad el 4 de junio de 2019) [7] como Microsoft declararon que esta vulnerabilidad podría ser utilizada por gusanos autopropagantes, con Microsoft (basado en la estimación de un investigador de seguridad que casi 1 millón de dispositivos eran vulnerables) diciendo que tal ataque teórico podría ser de una escala similar a los ataques basados ​​en EternalBlue como NotPetya y WannaCry. [8] [9] [7]

El mismo día que el aviso de la NSA, los investigadores del Centro de Coordinación CERT revelaron un problema de seguridad relacionado con RDP por separado en Windows 10 May 2019 Update y Windows Server 2019, citando un nuevo comportamiento donde las credenciales de inicio de sesión de RDP Network Level Authentication (NLA) se almacenan en caché en el sistema cliente, y el usuario puede volver a obtener acceso a su conexión RDP automáticamente si se interrumpe su conexión de red. Microsoft desestimó esta vulnerabilidad como un comportamiento intencionado, y puede deshabilitarse a través de la Política de grupo. [10]

A partir del 1 de junio de 2019, no se conoce públicamente ningún malware activo de la vulnerabilidad; sin embargo, los códigos de prueba de concepto (PoC) no revelados que explotan la vulnerabilidad pueden estar disponibles. [8] [11] [12] [13] El 1 de julio de 2019, Sophos, una compañía de seguridad británica, informó sobre un ejemplo práctico de tal PoC, con el fin de enfatizar la necesidad urgente de corregir la vulnerabilidad. [14] [15] [16] El 22 de julio de 2019, un orador de la conferencia de una empresa de seguridad china reveló más detalles de una hazaña. [17] El 25 de julio de 2019, expertos en informática informaron que una versión comercial del exploit podría estar disponible. [18] [19] El 31 de julio de 2019, los expertos en informática informaron un aumento significativo en la actividad maliciosa de RDP y advirtieron, en base a los historiales de exploits de vulnerabilidades similares, que un exploit activo de la vulnerabilidad BlueKeep en la naturaleza puede ser inminente. [20]

El 13 de agosto de 2019, se informó que las vulnerabilidades de seguridad relacionadas de BlueKeep, denominadas colectivamente DejaBlue, afectaban las versiones más recientes de Windows, incluido Windows 7 y todas las versiones recientes del sistema operativo hasta Windows 10, así como las versiones anteriores de Windows. [3]

El 6 de septiembre de 2019, se anunció que un exploit de la vulnerabilidad de seguridad de BlueKeep, que se puede publicar, se ha lanzado al ámbito público. [4]

El 2 de noviembre de 2019, se informó la primera campaña de piratería de BlueKeep a escala masiva, e incluyó una misión de criptojacking sin éxito. [21] [22]

Mecanismo

El protocolo RDP utiliza ‘canales virtuales’, pre-autenticación configurada, como una ruta de datos entre el cliente y el servidor para proporcionar extensiones. RDP 5.1 define 32 canales virtuales ‘estáticos’, y los canales virtuales ‘dinámicos’ están contenidos dentro de uno de estos canales estáticos. Si un servidor enlaza el canal virtual ‘MS_T120’ (un canal para el cual no hay una razón legítima para que un cliente se conecte) con un canal estático que no sea 31, se produce una corrupción del montón que permite la ejecución de código arbitrario a nivel del sistema. [ 23]

Microsoft nombró a Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 como vulnerables a este ataque. Las versiones más recientes que la 7, como Windows 8 y Windows 10, no se ven afectadas. La Agencia de Seguridad de Ciberseguridad e Infraestructura declaró que también había logrado con éxito la ejecución del código a través de la vulnerabilidad en Windows 2000. [24]
Mitigación

Microsoft lanzó parches para la vulnerabilidad el 14 de mayo de 2019, para Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2.

Esto incluyó versiones de Windows que han llegado al final de su vida útil (como Vista, XP y Server 2003) y, por lo tanto, ya no son elegibles para actualizaciones de seguridad. [8] El parche obliga al mencionado canal ‘MS_T120’ a estar siempre vinculado a 31, incluso si un servidor RDP lo solicita. [23]

La NSA recomendó medidas adicionales, como deshabilitar los Servicios de escritorio remoto y su puerto asociado (TCP 3389) si no se está utilizando, y requerir la Autenticación de nivel de red (NLA) para RDP. [25] Según la compañía de seguridad informática Sophos, la autenticación de dos factores puede hacer que el problema de RDP sea menos vulnerable. Sin embargo, la mejor protección es sacar RDP de Internet: apague RDP si no es necesario y, si es necesario, haga que RDP sea accesible solo a través de una VPN. [26]

Ver también

Ataque de ransomware Bad Rabbit – 2017
Blaster (gusano informático)
Ciberataque Dyn – 2016
Sasser (gusano informático)

Referencias

Foley, Mary Jo (14/05/2019). ‘Microsoft parchea Windows XP, Server 2003 para tratar de evitar la falla ‘wormable”. ZDNet. Consultado el 7 de junio de 2019.
Microsoft (mayo de 2019). ‘Guía de actualización de seguridad – Agradecimientos, mayo de 2019′. Microsoft Consultado el 7 de junio de 2019.
Greenberg, Andy (13/08/2019). ‘DejaBlue: nuevos errores de estilo BlueKeep renuevan el riesgo de un gusano de Windows’. Cableado Consultado el 13 de agosto de 2019.
Goodin, Dan (2019-09-06). ‘Exploit para el error de Windows BlueKeep que se puede liberar y liberado en la naturaleza: el módulo Metasploit no está tan pulido como el exploit EternalBlue. Aún así, es poderoso’. Ars Technica. Consultado el 6 de septiembre de 2019.
‘Guía del cliente para CVE-2019-0708 – Vulnerabilidad de ejecución remota de código de servicios de escritorio remoto’. Microsoft 2019-05-14. Consultado el 29/05/2019.
‘Vulnerabilidad de ejecución remota de código de servicios de escritorio remoto CVE-2019-0708 – Vulnerabilidad de seguridad’. Microsoft 2019-05-14. Consultado el 28 de mayo de 2019.
Cimpanu, Catalin. ‘Incluso la NSA insta a los usuarios de Windows a parchear BlueKeep (CVE-2019-0708)’. ZDNet. Consultado el 20 de junio de 2019.
Goodin, Dan (31/05/2019). ‘Microsoft prácticamente ruega a los usuarios de Windows que solucionen la falla de BlueKeep’. Ars Technica. Consultado el 31/05/2019.
Warren, Tom (14/05/2019). ‘Microsoft advierte sobre la mayor vulnerabilidad de seguridad de Windows similar a WannaCry, lanza parches de XP’. El borde. Consultado el 20 de junio de 2019.
‘Microsoft descarta el nuevo ‘error’ de Windows RDP como una característica’. Seguridad desnuda. 2019-06-06. Consultado el 20 de junio de 2019.
Whittaker, Zack (31/05/2019). ‘Microsoft advierte a los usuarios que apliquen parches a medida que aparecen los exploits para el error BlueKeep ‘wormable”. TechCrunch. Consultado el 31/05/2019.
O’Neill, Patrick Howell (31/05/2019). ‘Necesita parchear sus PC con Windows más antiguas ahora mismo para parchear una falla grave’. Gizmodo Consultado el 31/05/2019.
Winder, Davey (01-06-2019). ‘Advertencia de Microsoft Update ‘Actualizar ahora’ para usuarios de Windows’. Forbes Consultado el 1 de junio de 2019.
Palmer, Danny (2019-07-02). ‘BlueKeep: los investigadores muestran cuán peligroso podría ser realmente este exploit de Windows: los investigadores desarrollan un ataque de prueba de concepto después de aplicar ingeniería inversa al parche BlueKeep de Microsoft’. ZDNet. Consultado el 2 de julio de 2019.
Stockley, Mark (2019-07-01). ‘El exploit RDP BlueKeep muestra por qué realmente necesitas parchear’. NakedSecurity.com. Consultado el 1 de julio de 2019.
Personal (29/05/2019). ‘CVE-2019-0708: vulnerabilidad de ejecución remota de código de servicios de escritorio remoto (conocida como BlueKeep) – Boletín de soporte técnico’. Sophos Consultado el 2 de julio de 2019.
Goodin, Dan (22-07-2019). ‘Las posibilidades de un exploit destructivo de BlueKeep aumentan con un nuevo explicador publicado en línea: las diapositivas ofrecen la documentación técnica más detallada disponible públicamente vista hasta ahora’. Ars Technica. Consultado el 23 de julio de 2019.
Cimpanu, Catalin (25-07-2019). ‘Empresa estadounidense que vende exploit BlueKeep armado: un exploit por una vulnerabilidad que Microsoft temía que pudiera desencadenar el próximo WannaCry ahora se vende comercialmente’. ZDNet. Consultado el 25 de julio de 2019.
Franceschi-Bicchieral, Lorenzo (26-07-2019). ‘La firma de ciberseguridad descarta el código para la vulnerabilidad ‘BlueKeep’ de Windows increíblemente peligrosa: los investigadores del contratista del gobierno de EE. UU. Immunity han desarrollado un exploit para el temido error de Windows conocido como BlueKeep’. Vicio. Consultado el 26 de julio de 2019.
Rudis, Bob (31/07/2019). ‘BlueKeep exploits puede estar llegando: nuestras observaciones y recomendaciones’. RapidFire7.com. Consultado el 1 de agosto de 2019.
Greenberg, Andy (02/11/2019). ‘El primer pirateo masivo de BlueKeep finalmente está aquí, pero no se asuste, después de meses de advertencias, ha llegado el primer ataque exitoso con la vulnerabilidad BlueKeep de Microsoft, pero no es tan malo como podría haber sido’. Cableado Consultado el 3 de noviembre de 2019.
Immanni, Manikanta Immanni (03/11/2019). ‘La vulnerabilidad de BlueKeep inicial se utiliza para una misión de criptojacking fallida’. TechDator.
‘RDP significa’ Really DO Patch! ‘- Comprender la vulnerabilidad a RDP Wormable CVE-2019-0708’. Blogs de McAfee. 2019-05-21. Consultado el 19 de junio de 2019.
Tung, Liam. ‘Seguridad nacional: hemos probado el ataque BlueKeep de Windows y funciona así que parchear ahora’. ZDNet.

Cimpanu, Catalin. ‘Incluso la NSA insta a los usuarios de Windows a parchear BlueKeep (CVE-2019-0708)’. ZDNet.

Ver información original al respecto en Fuente>
https://en.wikipedia.org/wiki/BlueKeep