Microsoft ha publicado un parche para una vulnerabilidad en sus Servicios de Escritorio Remoto que puede ser explotada de forma remota, a través de RDP, sin autenticación y ser utilizada para ejecutar código arbitrario:
Existe una vulnerabilidad de ejecución remota de código en Servicios de Escritorio Remoto, anteriormente conocido como Servicios de Terminal Server, cuando un atacante no autenticado, se conecta al sistema objetivo mediante RDP y envía solicitudes especialmente diseñadas. Esta vulnerabilidad es pre-autenticación y no requiere la interacción del usuario. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario en el sistema objetivo. Un atacante podría entonces instalar programas; ver, cambiar, o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario.
No hay nada peor que eso.
Hay parches para las versiones de Windows 7 y Windows 2008 (consulte la web para obtener la lista completa) como parte del último martes de parches de Microsoft. También se han puesto a disposición parches para las versiones de Windows XP y Windows 2003 (consulte la guía completa para obtener la lista completa).
La vulnerabilidad se considera “tipo gusano”, lo que significa que tiene el potencial de ser utilizado en un malware que se propague solo a través de redes y entre ellas.
Millones de redes de ordenadores en todo el mundo tienen el RDP expuesto al mundo exterior para que puedan administrarse no solo a través de su red local sino también a través de Internet. A veces, ese acceso externo fue habilitado a propósito, a veces la exposición es un error no deseado, pero en cualquier caso, una red a la que se puede acceder a su RDP desde el exterior es una puerta de entrada potencial para que un ataque automatizado la convierta en una nueva víctima.
Dado el número de objetivos, y el potencial de una propagación explosiva y exponencial, recomendamos que lo trate como una cuestión de cuándo, no si, alguien realice ingeniería inversa con el parche y cree un exploit, por lo que debe actualizar inmediatamente. Para obtener más información, consulte la sección ¿Qué hacer? de esta entrada.
El hecho de que Microsoft haya dado el paso excepcional de emitir parches para Windows XP y Windows 2003 es ilustrativo.
Dado el impacto potencial para los usuarios y sus negocios, hemos decido de hacer que las actualizaciones de seguridad estén disponibles para las plataformas que ya no están en el soporte general… Recomendamos que los clientes que ejecutan uno de estos sistemas operativos descarguen e instalen la actualización lo antes posible.
En los cinco años transcurridos desde la fecha de finalización de la vida útil de Windows XP y 2003, Microsoft ha emitido innumerables parches para problemas críticos para sus sistemas operativos pero que no emitió para sus sistemas obsoletos. Solo se ha roto esa regla en cuatro ocasiones, incluida esta, especialmente durante el brote de WannaCry en 2017.
WannaCry fue un gusano ransomware, que se extendió por todo el mundo en un día, el cual explotaba una vulnerabilidad en el software SMB de Microsoft. El gusano no tuvo problemas para encontrar cientos de miles de sistemas Windows que infectar a pesar de la antigüedad del software y de que el mes anterior se había publicado un parche.
Como si demostráramos nuestra incapacidad colectiva y continua de aprender la lección sobre la importancia de la aplicación de parches, un poco más de un mes después, NotPetya siguió a WannaCry, otro brote global de ransomware que utiliza el mismo exploit.
¿Qué hacer?
Lo primero, instala el parche.
Si, por alguna razón, no puedes hacerlo de inmediato, Microsoft ofrece las siguientes mitigaciones y soluciones provisionales:
- Habilitar la autenticación de nivel de red (NLA). Esto obliga a un usuario a autenticarse antes de que el RDP esté expuesto al atacante. No todos los sistemas afectados soportan NLA.
- Desactivar RDP. Si RDP no se está ejecutando, la vulnerabilidad no puede ser explotada. Tan obvio como parece, algunas organizaciones no pueden trabajar sin RDP y otras lo están ejecutando sin darse cuenta.
- Bloquee el puerto TCP 3389. El bloqueo del puerto 3389 (y cualquier otro puerto que haya asignado a RDP) evitará que un ataque entre en su red, pero no puede evitar que un ataque se origine dentro de su red.
