Una vulnerabilidad en el protocolo del Escritorio Remoto RDP de Windows, (CVE-2019-0708) permite a un atacante acceder sin ninguna autenticación y ejecutar arbitrariamente código malicioso, según asevera Microsoft:
“Una vulnerabilidad que permite la ejecución de código remotamente, existe en el servicio de Escritorio Remoto, también llamado Servicio de Terminal. Una vez conectado a su víctima el atacante podrá enviar peticiones específicas de ejecución. Esta vulnerabilidad se presenta antes de la autenticación y no requiere la interacción del usuario. El atacante que la logre explotar podrían incluso instalar programas; ver, cambiar o eliminar archivos; crear nuevas cuentas con permisos de administrador.”
No podría ser peor, pues al no requerir interacción para la explotación, esta vulnerabilidad podría ser potencialmente utilizada por gusanos para que se propague una infección de forma masiva en la red.
Millones de computadores en las redes alrededor del mundo tienen RDP expuesto al exterior (Internet) lo que facilita el acceso a estos. Por desgracia el radio de exposición es de proporciones enormes.
Si bien aún no se ha detectado ninguna infección masiva que afecte esta vulnerabilidad no hay tiempo que perder. Microsoft recomienda la actualización de los sistemas Windows para que el parche sea aplicado.
¿QUÉ DEBERÍA HACER?
- Primero que todo, Mantener actualizados sus equipos con Windows.
- Activar la Autenticación a Nivel de Red (NLA). Esto obliga al usuario a autenticarse antes de que RDP esté expuesto al ataque. No todos los sistemas soportan NLA.
- Otración puede ser Desactivar completamente RDP. Si RDP no está en ejecución, no puede ser explotada la vulnerabilidad.
- Bloquear o filtrar el puerto TCP/3389. Esto permitirá el acceso solamente desde equipos o direcciones permitidos.
- Utilizar VPN corporativas para el acceso a servidores dentro de la organización.
