BlueKeep CVE-2019–0708. La vulnerabilidad crítica de Windows que deberías atender ya!

Se ha dado a conocer una vulnerabilidad muy crítica en el servicio RDP para algunos sistemas windows. La explotación de esta vulnerabilidad es relativamente fácil, al ser un servicio muy utilizado y bastante expuesto, podría esto desencadenar en una ola de ransomware que afectarían millones de dispositivos en el mundo y para los cibercriminales una muy buena oportunidad para recibir una gran cantidad de dinero.

En América Latina, existen al rededor de 164.858 dispositivos con el servicio RDP expuesto a internet. Creemos que existe un gran porcentaje de estos que se ven afectados por esta vulnerabilidad y que no han sido parcheado.

Mapa Latam — Servicio RDP expuesto

Brazil, Mexico y Argentina encabezan la lista de países con el servicio RDP expuesto a internet.

Top 10 — Países con servicio RDP expuesto a internet

Puedes ver mas de nuestro reporte en Shodan en el siguiente link.

Vulnerabilidad BlueKeep

https://app.howlermonkey.io/vulnerabilities/CVE-2019-0708
Chequea en HowlerMonkey las versiones de Microsoft Windows que se ven afectadas por la vulnerabilidad BlueKeep CVE-2019-0708.https://app.howlermonkey.io/vulnerabilities/CVE-2019-0708

Chequea si eres vulnerable

Target Vulnerable
El parche se encuentra aplicado

Exploits públicos

Este exploit crea un crash en el sistema operativo, lo que puede producir una denegación de servicio - DoS. No tardará en salir un exploit en los próximos días que gane acceso con privilegios de un usuario del sistema.

Aplica el parche YA!

Parches para las versiones de windows — https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Microsoft ha disponibilizado los parches para cada uno de los sistemas operativos y versiones afectadas que cuentan con soporte oficial. Dado a la gravedad del caso, si tu sistema no cuenta con soporte oficial, no te preocupes, Microsoft ha liberado un parche especial para esta vulnerabilidad así que puedes instalar el parche que se encuentra en el siguiente link.

Recomendaciones:

  • No es recomendable que expongas el servicio RDP a internet, bloquea el puerto 3389/tcp en el firewall de borde.
  • Sí necesitas conectarte de forma remota, entonces es mejor que te conectes vía VPN y luego a tu servidor.
  • Sí no usas el servicio RDP, entonces es mejor que lo deshabilites.
  • Sí de igual forma vas a usar RDP, cambia el puerto 3389/tcp a otro puerto. De esta forma evitaras gran parte de los ataques automatizados que solo buscan el puerto 3389/tcp.
  • Recuerda de no configurar la regla por defecto en el firewall de borde. Asegurate permitir acceso solo desde orígenes confiables.
  • Monitorea las conexiones a tu servicio RDP, habilita los logs, customiza y actualiza las firmas de tu HIDS o IPS para que puedas detectar conexiones anormales y poder tomar alguna acción.

Otra de nuestras publicaciones relacionadas

Guayoyo

Blog oficial de Guayoyo — Anuncios, actualizaciones, noticias e información de interés

Edgar David Salazar

Written by

Hacking Life & Co-Fundador de @GuayoyoLabs

Guayoyo

Guayoyo

Blog oficial de Guayoyo — Anuncios, actualizaciones, noticias e información de interés

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade