Han pasado más de tres semanas desde que Microsoft lanzó un comunicado exhortando a que los usuarios actualicen sus sistemas operativos ante la detección de una vulnerabilidad crítica identificada como CVE-2019-0708 que, según la propia compañía, es peligrosa porque de ser explotada, permitiría que una amenaza se propague hacia otras computadoras vulnerables (característica de los gusanos informáticos) de manera similar a la forma en que se propagó el famoso y dañino ransomware WannaCry en 2017. Con el transcurrir de las semanas, la comunidad de investigadores y especialistas en el campo de la seguridad se han mostrado muy activos y atentos a la evolución de lo que ocurría con esta vulnerabilidad, apodada BlueKeep, y se ha revelado información que permite comprender la magnitud y características de este fallo. Una de las últimas novedades alrededor de BlueKeep se conoció el pasado 7 de junio, cuando se descubrió la existencia de una botnet, denominada GoldBrute, que lleva realizando ataques de fuerza bruta al RDP de más de un millón y medio de servidores de distintas partes del mundo.
Advertencia de Microsoft y la NSA
Microsoft publicó el pasado jueves 30 de mayo un nuevo comunicado recordando la importancia de que los usuarios y empresas actualicen sus sistemas operativos; sobre todo luego de que un informe publicado dos semanas después de lanzado el parche, afirmara que todavía existen cerca de un millón de equipos vulnerables a BlueKeep.
Para comprender un poco más de la parte técnica, “existe una gran cantidad de posibilidades de explotación de este fallo”, explica el investigador de ESET Daniel Cunha Barbosa. En este sentido, un atacante que explote BlueKeep podría realizar ataques de denegación de servicio (DoS) cuando no consiga otra alternativa para comprometer el entorno de un blanco de ataque, pero también es posible que atacantes aprovechen la CVE-2019-0708 para llevar adelante ataques de ejecución remota de código (RCE) que le permitan ejecutar desde un ransomware, pasando por un coinminer o lo que sea que quiera. Esto es así debido a que el fallo está en el Remote Desktop Service (RDP) y permite la ejecución remota de código con privilegios de administrador y sin necesidad de interacción por parte del usuario.
Según publicó la Agencia Nacional de Seguridad de los Estados Unidos (NSA) el pasado 4 de junio en un comunicado que pretende reforzar el llamado de atención de Microsoft ante la importancia de que usuarios y administradores actualicen sus sistemas, una de las principales preocupaciones de la NSA es la explotación de BlueKeep para distribuir ataques de ransomware y exploit kits que contengan otros exploits.
En este sentido, además de actualizar los sistemas operativos vulnerables, que son Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2, otras medidas que se recomiendan son:
- Bloquear el puerto TCP 3389 del firewall, especialmente cualquier firewall perimetral expuesto a Internet. Este puerto es utilizado en el protocolo RDP y bloqueará cualquier intento por establecer conexión.
- Habilitar autenticación a nivel de red. Esta medida de seguridad requiere que los atacantes necesiten credenciales válidas para llevar adelante autenticación de código remota.
- En tercer lugar, deshabilitar servicios de escritorio (Desktop Service) remotos si no son necesarios. Al hacer esto se reduce la exposición a vulnerabilidades de seguridad y es una buena práctica incluso para otras posibles amenazas.
La divulgación de BlueKeep acaparó la atención de muchos investigadores
Inmediatamente después de que Microsoft anunciara el lanzamiento del parche, se pudo ver que la comunidad de investigadores en seguridad manifestó su inquietud y preocupación a través de Twitter por las características de BlueKeep. De hecho, al día siguiente el fundador de la compañía de seguridad Zerodium aseguraba a través de twitter que BlueKeep era explotable:
We've confirmed exploitability of Windows Pre-Auth RDP bug (CVE-2019-0708) patched yesterday by Microsoft. Exploit works remotely, without authentication, and provides SYSTEM privileges on Windows Srv 2008, Win 7, Win 2003, XP. Enabling NLA mitigates the bug. Patch now or GFY!
— Chaouki Bekrar (@cBekrar) 15 de mayo de 2019
El 18 de mayo, el investigador Valthek publicó en Twitter que había desarrollado un exploit para la CVE-2019-0708 relacionada a RDP y agregaba que era muy peligroso, por lo que no daría detalles sobre el mismo.
I get the CVE-2019-0708 exploit working with my own programmed POC (a very real dangerous POC).This exploit is very dangerous. For this reason i don´t will said TO ANYBODY OR ANY ENTERPRISE nothing about it. You are free of believe me or not,i dont care.https://t.co/o7wwEazgK0
— Valthek (@ValthekOn) 18 de mayo de 2019
Con el pasar de los días, varios expertos en seguridad manifestaron lo peligroso que podría ser la explotación de este bug y recomendaron, entre otras cosas, cortar el acceso a RDP y limitar su uso interno.
Una semana después del comunicado de Microsoft, el investigador Marcus Hutchins (quien descubrió el kill switch que detuvo a WannaCry) adelantaba que ya había suficiente información publicada en Internet para que personas sin habilidades especiales encuentren la forma de crear pruebas de concepto (PoC) que permitan realizar ataques DoS y que era de esperarse que pronto comiencen a aparecer. Asimismo, añadió que PoCs que permitan ejecución remota de código (RCE) requieren de más habilidades.
There's enough public info around twitter for people with average RE / VR skills to eventually figure out how to get DoS. Would probably expect a DoS PoC soonish (maybe this week), but RCE takes some more skill.
— MalwareTech (@MalwareTechBlog) 21 de mayo de 2019
Con el correr de las horas y de los días, distintas PoCs fueron apareciendo de manera pública en repositorios como GitHub. Según explica el investigador en seguridad de ESET, Daniel Cunha Barbosa, “varias de las distintas PoC para ataques de DoS que se han publicado muestran básicamente lo mismo, aunque de diferente forma, pero lo más preocupante es que han aparecido de manera pública exploits para RCE”.
Además, a través de Twitter han advertido la presencia de pruebas de concepto backdooreadas, que según explica el investigador de ESET, “este tipo de PoCs son desarrolladas por criminales con la intención de captar la atención de especialistas de la industria de la seguridad para que las descarguen y así lograr comprometer sus equipos con la instalación de un backdoor. De esta manera, el atacante y desarrollador de la PoC logra tomar control del equipo de la víctima, que en este caso sería un individuo de la industria de la seguridad”, explicó Barbosa.
Actores maliciosos buscan sistemas vulnerables
Así como se ha visto actividad en el desarrollo de pruebas de concepto, según publicaron algunos medios, llegando a la última semana de mayo se detectó que actores maliciosos han estado escaneando Internet en busca de sistemas vulnerables a BlueeKeep; aparentemente esta actividad está siendo ejecutada por un único actor. Sin embargo, si tenemos en cuenta que aún hay cerca de un millón de sistemas sin actualizar, el escenario no parece del todo alentador.
Por otra parte, especialistas han publicado herramientas para escanear redes en busca de equipos vulnerables a BlueKeep, algo que puede resultar de utilidad para empresas que deseen realizar auditorías internas. Asimismo, soluciones de seguridad como las que ofrecen los productos de ESET también detectan intentos de explotación de esta vulnerabilidad, explicó el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez.
Lo más importante es que aquellos que aún no han actualizados sus sistemas lo hagan lo antes posible.