Si bien Microsoft ya lanzó un parche que corrige este fallo en su última actualización, la compañía aseguró que por el momento no han identificado explotación alguna de este bug, pero consideran probable que cibercriminales terminen escribiendo algún exploit que aproveche esta vulnerabilidad para luego incorporarla a un malware.
Por su parte, la compañía explicó en una publicación que la vulnerabilidad, la cual recibió el nombre de “BlueKeep”, se encuentra en una etapa de pre autenticación y no requiere interacción por parte del usuario, lo que significa que un malware que aproveche este bug podría llegar a propagarse entre computadoras vulnerables de manera similar a como lo hizo WannaCry en 2017.
De hecho, Microsoft decidió lanzar un parche para las versiones 2003 de Windows, así como para XP, Windows 7 y para las versiones de Windows Server 2008 y Windows Server 2008 R2; sistemas que se ven afectados por este fallo.
La vulnerabilidad, registrada como CVE-2019-0708 , reside en Servicios de Escritorio Remoto (RDP, por sus siglas en inglés), también conocidos como Servicios de Terminal, pero no en el protocolo RDP en sí mismo, y permite a un atacante la ejecución remota de código.
Según publicó en su cuenta de Twitter el investigador en seguridad, Kevin Beaumont, luego de realizar una búsqueda en la herramienta Shodan, existen actualmente cerca de 3 millones de endpoints RDP expuestos directamente a Internet.
🚨 Very important security update for Windows 🚨 CVE-2018-0708 allows remote, unauthenticated code execution is RDP (Remote Desktop). A very bad thing you should patch against. Around 3 million RDP endpoints are directly exposed to internet. https://t.co/EAdg3VNMjw pic.twitter.com/u2V3uyoyVs
— Kevin Beaumont (@GossiTheDog) 14 de mayo de 2019
Por si fuera poco, se trata de una vulnerabilidad que para ser explotada requiere bajo nivel de complejidad, siendo catalogada con un puntaje de 3.9 sobre 10 de acuerdo al sistema que establece Microsoft para determinar la complejidad. A modo de referencia, los desarrolladores de WannaCryptor contaban con un exploit, escrito por la NSA, para explotar los fallos CVE-2017-0144 y CVE-2017-0145 cuya complejidad de explotación fue catalogada como alta, explica el medio Arstechnica.
Al momento de escribir este artículo no hemos tenido conocimiento de que se haya provocado alguna explotación de “BlueeKeep”. En otro tuit publicado por el experto en seguridad, Kevin Beaumont, por el momento no se han detectado pruebas de concepto (PoC) de manera pública y tampoco se han identificado signos de explotación como parte de una campaña, aunque sí están apareciendo en GitHub falsos PoCs a modo de broma.
There are no public PoCs yet, and no sign of exploitation in wild.
Joke PoCs are already appearing on Github. Don’t run random PoCs you find online; they will often be malicious.
— Kevin Beaumont (@GossiTheDog) 14 de mayo de 2019
Con la instalación del parche que lanzó Microsoft los equipos dejan de ser vulnerables para este fallo, pero si analizamos lo que pasó con WannaCry en 2017 (Microsoft lanzó el parche tiempo antes de que se prouzca el brote) la realidad indica que, pese a la alerta emitida y el llamado a actualizar, probablemente muchos equipos no sean actualizados.
Si pensamos que este fallo crítico recientemente descubierto, que afecta a viejas versiones de Windows que siguen siendo muy utilizadas, ocurriera posterior al 14 de enero de 2020, fecha en la que Microsoft anunció que dejará de lanzar actualizaciones de seguridad de manera gratuita para Windows 7 como forma de impulsar a que los usuarios se actualicen a versiones más nuevas y seguras de su sistema operativo, las consecuencias podrían ser muy serias. A modo de referencia, un informe reciente publicado por Forescout reveló que en Estados Unidos, el 71% de las computadoras que operan en las grandes instituciones médicas de aquel país utilizarán sistemas operativos sin soporte de actualizaciones para el próximo 14 de enero.
Actualizar lo antes posible
Si bien los usuarios de Windows 7, Windows Server 2008 R2, y Windows Server 2008 que tengan actualizaciones automáticas ya están protegidos, Microsoft lanzó actualizaciones especiales para sistemas que también son vulnerables a BlueKeep y para los cuales la compañía ya no ofrece soporte, como son Windows XP y Windows Server 20013. Los parches para estos últimos sistemas pueden descargarse desde aquí, junto con el resto de los parches para los demás sistemas operativos.