BlueKeep CVE-2019–0708. La vulnerabilidad crítica de Windows que deberías atender ya!

Se ha dado a conocer una vulnerabilidad muy crítica en el servicio RDP para algunos sistemas windows. La explotación de esta vulnerabilidad es relativamente fácil, al ser un servicio muy utilizado y bastante expuesto, podría esto desencadenar en una ola de ransomware que afectarían millones de dispositivos en el mundo y para los cibercriminales una muy buena oportunidad para recibir una gran cantidad de dinero.

En América Latina, existen al rededor de 164.858 dispositivos con el servicio RDP expuesto a internet. Creemos que existe un gran porcentaje de estos que se ven afectados por esta vulnerabilidad y que no han sido parcheado.

Image for post
Image for post
Mapa Latam — Servicio RDP expuesto

Brazil, Mexico y Argentina encabezan la lista de países con el servicio RDP expuesto a internet.

Image for post
Image for post
Top 10 — Países con servicio RDP expuesto a internet

Puedes ver mas de nuestro reporte en Shodan en el siguiente link.

Es posible que un atacante intente conectarse al sistema destino mediante RDP y al enviar un paquete especialmente diseñado, un atacante puede establecer el valor del ID del canal en algo que el servicio RDP no espera, lo que provoca un error de corrupción de memoria que creará las condiciones para que se produzca la ejecución remota de código. Si el atacante decide seguir con los paquetes diseñados para aprovechar esta falla, la ejecución remota de código se puede lograr con privilegios de usuario del sistema. Esta vulnerabilidad no requiere autenticación para ser explotada, la complejidad es baja y se explota a través de la red.

Image for post
Image for post
https://app.howlermonkey.io/vulnerabilities/CVE-2019-0708
Chequea en HowlerMonkey las versiones de Microsoft Windows que se ven afectadas por la vulnerabilidad BlueKeep CVE-2019-0708.https://app.howlermonkey.io/vulnerabilities/CVE-2019-0708

Los investigadores Jan Gocník y @zerosum0x0 crearon este script que permite chequear si tu servicio RDP es vulnerable o no.

Image for post
Image for post
Target Vulnerable
Image for post
Image for post
El parche se encuentra aplicado

Este exploit crea un crash en el sistema operativo, lo que puede producir una denegación de servicio - DoS. No tardará en salir un exploit en los próximos días que gane acceso con privilegios de un usuario del sistema.

Image for post
Image for post
Parches para las versiones de windows — https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Microsoft ha disponibilizado los parches para cada uno de los sistemas operativos y versiones afectadas que cuentan con soporte oficial. Dado a la gravedad del caso, si tu sistema no cuenta con soporte oficial, no te preocupes, Microsoft ha liberado un parche especial para esta vulnerabilidad así que puedes instalar el parche que se encuentra en el siguiente link.

  • Aplicar el Secutiy Update de acuerdo a la versión del sistema operativo afectado lo antes posible. Recuerda reiniciar para que tome el parche.
  • No es recomendable que expongas el servicio RDP a internet, bloquea el puerto 3389/tcp en el firewall de borde.
  • Sí necesitas conectarte de forma remota, entonces es mejor que te conectes vía VPN y luego a tu servidor.
  • Sí no usas el servicio RDP, entonces es mejor que lo deshabilites.
  • Sí de igual forma vas a usar RDP, cambia el puerto 3389/tcp a otro puerto. De esta forma evitaras gran parte de los ataques automatizados que solo buscan el puerto 3389/tcp.
  • Recuerda de no configurar la regla por defecto en el firewall de borde. Asegurate permitir acceso solo desde orígenes confiables.
  • Monitorea las conexiones a tu servicio RDP, habilita los logs, customiza y actualiza las firmas de tu HIDS o IPS para que puedas detectar conexiones anormales y poder tomar alguna acción.

Blog oficial de Guayoyo — Anuncios, actualizaciones…

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store