Análisis de Sophos demuestra los peligros de BlueKeep y porqué actualizar Windows
Ciudad de México a 4 de julio de 2019. De acuerdo con Sophos, firma especializada en ciberseguridad, a raíz de varias alertas de seguridad, principalmente señaladas por la Agencia de Seguridad Nacional estadounidense (NSA), Microsoft lanzó parches destinados a proteger las versiones de sus sistemas operativos, incluyendo las que ya no reciben actualizaciones regulares como Windows XP, debido a la vulnerabilidad conocida como BlueKeep.
BlueKeep es una falla grave que utiliza el protocolo de escritorio remoto (RDP), que permite a las personas controlar máquinas de Windows con una interfaz gráfica de usuario completa, a través de internet. Es decir, desde los servidores alojados en la nube hasta los escritorios de Windows utilizados por trabajadores remotos, se convierten en una entrada potencial a la red local de una organización.
Este acceso no autenticado a través de RDP, permite a los atacantes la capacidad de emitir comandos para instalar malware, modificar datos y crear nuevas cuentas de usuario. El mismo afecta a los equipos que ejecutan Windows XP, Windows 7, Windows Server 2003 y 2008.
El equipo de SophosLabs Offensive Research, publicó una prueba de concepto de ataque Blue Keep, utilizando un exploit propio para explicar cómo esta vulnerabilidad sigue siendo una amenaza grave. El código es obviamente demasiado peligroso para ser publicado, por lo que SophosLabs ha grabado un vídeo que muestra, sin los archivos, como se puede utilizar el exploit para obtener el control total de un sistema remoto sin autenticación.
Aquí una acciones recomendadas por Sophos:
La aplicación de parches a todas las computadoras afectadas contra esta vulnerabilidad es el mejor método para protegerse de los ataques. Sophos recomienda instalar sus sistemas de seguridad, que se irán actualizando automáticamente, ya que irá agregando nuevas protecciones que ayuden a mitigar esta amenaza a lo largo del tiempo.
Otros pasos para ayudar a los administradores de TI a mejorar la protección son:
- Si no se utiliza RDP, se recomienda deshabilitarlo para uso externo y limitar su uso internamente. Si RDP está deshabilitado el exploit no funcionará.
- Exigir a los usuarios que utilicen una VPN para llegar a un servidor RDP interno.
- Aplicar controles adicionales, como la autenticación multifactor, a todas las máquinas que albergan servicios RDP.
- Bloquear el tráfico de red entrante en el puerto 3389 / TCP en el firewall.
- Habilitar la autenticación de nivel de red (NLA) en los sistemas afectados para ayudar a evitar que los atacantes no autenticados aprovechen la vulnerabilidad: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008 -R2-and-2008 / cc732713 (v = ws.11)
- Realizar una evaluación de los sistemas en la red interna para determinar qué máquinas son vulnerables y, si no pueden ser parcheadas, considerar implementar restricciones adicionales en el acceso interno a esas máquinas, como aislarlas en una VLAN restrictiva.
