Comparte en:

Microsoft ha emitido un parche para una vulnerabilidad en sus Servicios de Escritorio Remoto que puede ser explotado de forma remota, a través de RDP, sin autenticación y utilizado para ejecutar código arbitrario:

Existe una vulnerabilidad de ejecución remota de código en Servicios de Escritorio Remoto, anteriormente conocido como Servicios de Terminal Server, cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía solicitudes especialmente diseñadas. 

Esta vulnerabilidad es una autenticación previa y no requiere la interacción del usuario. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario en el sistema de destino. Un atacante podría entonces instalar programas; ver, cambiar, o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario.

No hay nada peor que eso.

Las correcciones se incluyen en las versiones de Windows 7 y Windows 2008 (debes consultar la recomendación para obtener la lista completa) como parte del último martes de parches de Microsoft.

También se han puesto a disposición parches para las versiones de Windows XP y Windows 2003 (hay que consultar la guía completa para el cliente).

¿Por qué se llama wormable?

La vulnerabilidad se ha denominado ‘wormable’, lo que significa que tiene el potencial de ser utilizado en malware que se propaga por sí mismo a través de y entre las redes.

Millones de redes de computadoras en todo el mundo tienen el RDP expuesto al mundo exterior para que puedan administrarse no solo a través de su red local sino también a través de Internet.

A veces, ese acceso externo fue habilitado a propósito; a veces la exposición es un error no deseado, pero, en cualquier caso, una red a la que se puede acceder a RDP desde el exterior es una puerta de entrada potencial para que un ataque automatizado alcance a una nueva víctima.

Dado el número de objetivos, y el potencial de una propagación explosiva y exponencial, te sugerimos que lo trates como una cuestión que requiere mucha atención; el parche tiene ingeniería inversa para evitar un exploit, por lo que debes actualizar de inmediato.

El hecho de que Microsoft haya dado el paso excepcional de emitir parches para Windows XP y Windows 2003 es instructivo.

Dado el impacto potencial para los clientes y sus negocios, tomamos la decisión de hacer que las actualizaciones de seguridad estén disponibles para las plataformas que ya no están en el soporte general …

Recomendamos que los clientes que ejecutan uno de estos sistemas operativos descarguen e instalen la actualización lo antes posible.

Parches para Windows XP

En los cinco años transcurridos desde la fecha de finalización de la vida útil de Windows XP y 2003, Microsoft ha emitido innumerables parches para problemas críticos en su familia de sistemas operativos que no respaldó a sus productos retirados.

Solo se ha roto el patrón de soporte en cuatro ocasiones, incluida esta, sobre todo durante el ataque de WannaCry de 2017.

WannaCry fue un gusano ransomware que se extendió por todo el mundo en un día al explotar una falla en la versión uno del software SMB de Microsoft.

El gusano no tuvo problemas para encontrar cientos de miles de sistemas Windows para infectar a pesar de la antigüedad del software y de un parche que se había emitido el mes anterior.

Como si demostráramos nuestra incapacidad colectiva y continua de aprender la lección sobre la importancia de la aplicación de parches, un poco más de un mes después, NotPetya siguió a WannaCry, otro ataque global de ransomware que utiliza el mismo exploit.

¿Qué hacer?

Cualquier otra cosa que hagas, debes parchear.

Si, por alguna razón, no puedes parchear de inmediato, Microsoft ofrece las siguientes opciones y soluciones alternativas:

  • Habilitar la autenticación de nivel de red (NLA). Esto obliga a un usuario a autenticarse antes de que el RDP esté expuesto al atacante. No todos los sistemas afectados soportan NLA.
  • Desactivar RDP. Si RDP no se está ejecutando, la vulnerabilidad no puede ser explotada. Tan obvio como parece, algunas organizaciones no pueden trabajar sin RDP y otras lo están ejecutando sin darse cuenta.
  • Bloquear el puerto TCP 3389. El bloqueo del puerto 3389 (y cualquier otro puerto que hayas asignado a RDP) en el perímetro evitará que un ataque ingrese a tu red, pero no puede impedir que un ataque se origine dentro de tu red.