Si tu sistema es Windows XP, Vista o Server 2003 no dejes de leer esto
El RDS, Remote
Desktop Services, es un conjunto de servicios para el acceso de
escritorio remoto y escritorios virtuales. Renombre del veterano Terminal Server,
instaurado en Windows Server 2008 R2 (disponible a partir del 2010).
Si el ordenador
es un castillo, por su naturaleza, el RDS sería una de las puertas de acceso en
la muralla exterior. Sí, una puerta con torres y puente elevadizo, pero una
puerta al fin; y por tanto el objeto de la codicia de todos los ciberpiratas[1];
y lo normal es que periódicamente algún botnet[2]
sondee mediante un reconocimiento en
fuerza[3]
su fortaleza para ver si consigue alguna manera de penetrarla o de flanquearla.
Por supuesto,
descubrir una vulnerabilidad en el RDS, dispara las alarmas y se convierte en
máxima prioridad para ser subsanada (vamos, un claro DEFCON 1[4]).
Es como si descubrieras que hay un túnel secreto que pasa por debajo del foso y
las torres que protegen la puerta de tu castillo. Si el enemigo lo descubre
antes que tú o antes de que lo hayas tapiado tendrá libre acceso a tu recinto.
El 16 de mayo Microsoft
anunció una vulnerabilidad (CVE-2019-0708) que permitiría la ejecución
remota de código, sin ser necesaria ningún tipo de autenticación y sin interacción por parte de un
usuario víctima (como decir que el ladrón es capaz de cubrirse con una capa de
invisibilidad y frente a tus narices pasar por delante de todos los guardias
que protegen la puerta del castillo). Es decir, podría enviar solicitudes especialmente
diseñadas a los sistemas de destino a través del RDP (el protocolo del RDS), permitiendo
ejecutar código arbitrario y abriendo la puerta para instalar programas; ver,
cambiar, o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario,
incluso usar el CPU para minar criptomonedas y, por supuesto, seguir
propagándose automáticamente (gusano[5]),
pudiéndose convertir en una epidemia.
Pudiendo ser
explotada remotamente, con una complejidad baja y sin necesidad de
autenticaciones, su uso exitoso, por su puesto, provocaría un impacto completo
sobre el sistema víctima (el castillo cae tras un exitoso asalto por sorpresa).
Por esta razón ha sido clasificada de "extremadamente crítica". La
base de datos del NIST[6] le ha dado 10 puntos (la máxima nota),
según la escala CVSSv2[7].
Ese mismo día
la OSI
y la CCN-CERT
publicaron sus alertas. Al día siguiente de ser publicado el parche, el
fundador de la compañía de seguridad Zerodium aseguraba a través de twitter
que BlueKeep, como fue bautizado, era
explotable. La comunidad internacional de investigadores de seguridad se
preocupó inmediatamente. El 18 de mayo, el investigador Valthek publicó un twitter
indicando que había desarrollado un exploit[8]
que aprovechaba la vulnerabilidad y no daba detalles debido a su alta
peligrosidad. El 21 de mayo, el investigador Marcus Hutchins (famoso por ser el
descubridor de cómo parar al terrible WannaCry) anunciaba en un twitter
que ya había suficiente información publicada en Internet para que personas sin
habilidades especiales encontrasen la forma de crear sus pruebas de concepto
(PoC) que permitan realizar ataques de denegación de servicios (DoS), por lo
que pronto comenzarían proliferarse. No sólo comenzaron a aparecer en Internet,
con libre acceso, más pruebas de concepto que aprovechaban la vulnerabilidad,
sino que los investigadores de ESET
denunciaron que también aparecieron pruebas de conceptos que incluían un
caballo de troya[9] con el fin
de abrir una puerta trasera en la máquina de quien estaba verificando y
probando la prueba de concepto (que a estas alturas todavía, en su mayoría, era
personal de la industria de seguridad).
El 30 de mayo
Microsoft publicó nuevamente un
recordatorio sobre la importancia de la inmediata actualización de los sistemas.
El 4 de junio la propia NSA[10]
sorprendió publicando un comunicado,
procedimiento inusual para esa agencia, con la pretensión de reforzar el
mensaje ya lanzado por Microsoft, haciendo un llamado de atención sobre la
importancia de actualizar los sistemas para evitar futuros ataques de
ransomware[11],
coinminer[12] y
peligrosos exploit kits[13].
Si los sistemas
operativos que están bajo tu responsabilidad son Windows 7 o Windows Serever
2008 y poseen el servicio de actualizaciones activo y vigente no
tienes de qué preocuparte; ya debes tener instalado el parche correctivo de BlueKeep (que fue liberado el 14 de
mayo); pero si tiene el servicio de actualizaciones vigente, pero no lo tienes
automático, debes inmediatamente descargar e instalar este parche. Para ello
debes dirigirte al Catálogo
de Microsoft Update y escoges la versión que te corresponda. Te
aparecerá una ventana con un enlace. Debes darle click para descargar la
actualización y al finalizar abrirla para instalarla.
El 24 de mayo, GreyNoise, la
empresa de inteligencia de amenazas en Internet, anunció que había empezado a
detectar escaneos que buscaban sistemas Windows con la vulnerabilidad. El 7 de
junio se publicó la noticia de que se había descubierto la existencia de un botnet,
conocido como GoldBrute,
que está escaneando el Internet, formando una base de datos con los ordenadores
(que usan Windows) cuyo RDP es vulnerable (de los cuales se supo que tenía
registrados 1,5 millones de máquinas con el protocolo activo[14]).
Esto es sólo un indicativo de que se prepara un ataque de gran alcance. Al
menos seis organizaciones han desarrollado exploits del BlueKeep y existen dos
informes muy detallados sobre la vulnerabilidad, por lo que en cualquier
momento las mafias organizadas comenzarán sus campañas de ataque con sus
propios medios.
La falta de
tiempo y recursos destinados a la monitorización de vulnerabilidades y
actualizaciones de parches por parte de las empresas y organizaciones se
evidencia en las grandes pérdidas producidas por el ataque del ransomware WannaCry[15],
en mayo del 2017, a pesar de que dos meses antes ya estaba disponible el parche
corrector. En mayo del 2019 un nuevo ataque que explota la misma vulnerabilidad
EternalBlue[16],
llamado RobbinHood,
ha paralizado el ayuntamiento de Baltimore[17],
entre otras instituciones estatales de Estados Unidos[18]
(lo que prende las alarmas al evidenciar que cualquier ciudad del mundo que se
haya digitalizado
incluyendo las Españolas, como las llamadas “smart cities” de Alicante, Málaga o
Santander
puede ser víctima si no ha implantado las
respectivas actualizaciones, provocando una grave parálisis gubernamental).
BlueKeep es
considerada una vulnerabilidad tan grave que Microsoft se ha tomado la molestia
de crear parches para actualizar varias versiones de su sistema operativo que
ya no reciben soporte de actualizaciones, ya que afecta a las versiones XP, Vista y Server 2003, que
a pesar de estar ya fuera de catálogo, aún su uso es muy extendido.
Si tu sistema
operativo es alguno de los listados a continuación dirígete aquí
para conseguir la descarga correspondiente:
Windows XP
SP3 x86, XP Professional x64 Edition SP2, XP Embedded SP3 x86;
Windows Server 2003 SP2 x86, 2003 x64 Edition SP2, 2003 R2 SP2, 2003 R2 x64 Edition SP2;
Windows Vista SP2, Vista x64 Edition
SP2
Todos concluyen
lo mismo. Es una bomba de tiempo cuya cuenta regresiva ya está en marcha. Es
inevitable que en poco tiempo el Internet sea golpeado por olas de exploits
buscando sistemas Windows no parcheados, por lo que es muy importante que todos
los responsables de informática y los usuarios en general se aseguren de que
todos los sistemas estén actualizados.
Además de
actualizar sus sistemas, también se recomiendan las siguientes medidas:
-
Bloquear en el firewall el puerto TCP 3389, que
es utilizado por el protocolo RDP.
-
Habilitar autenticación a nivel de red (NLA[19]),
provocando así que los atacantes necesiten credenciales válidas para lograr
autenticación de código remoto antes de conseguir abrir una sesión en el
servidor; mediante la siguiente directiva de grupo:
Computer
Configuration \ Policies \ Administrative Templates \ Windows Components \
Remote Desktop Services \ Remote Desktop Session Host \ Security
-
Deshabilitar servicios de escritorio remotos, si
no son necesarios (es como tapiar la puerta).
Guerra avisada
no mata soldado…
Francisco Javier Castañé Sanz
17/07/2019
#seguridad,
#seguridadinformatica, #virus, #gusano, #bluekeep, #wannacry, #ransomware, #windows,
#windowsupdate, #parche, #vulneravilidad, #CVE-2019-0708
Fuentes:
OSI, CCN-CERT,
Panda Security, Kaspersky, Symantec, Avast, ESET, NSA, Microsoft, Paloalto
Networks, Wikipedia
[1]
En 2018, ¡antes del BlueKeep!. cada mes, el 40% de las empresas grandes
y medianas fueron atacadas a través del protocolo del RDS, según PandaLabs.
[2]
Botnet es el término informático para
denominar a un grupo de ordenadores (red) infectados (llamados bots o zombies) por un malware que permite a un atacante controlarlos de
forma remota, ejecutando normalmente acciones de forma autónoma y automática.
[3]
Reconocimiento
en fuerza es un término militar para indicar una operación con
cierta capacidad de poder de fuego que usa la observación sigilosa más el
ataque para revelar el nivel de defensa y poder defensivo del enemigo, y así
poder reconocer posiciones, consistencia y reacción del sistema defensivo
enemigo.
[5]
Gusano es un término informático para
referirse a los virus que tienen la capacidad de propagarse sin intervención
humana, transfiriéndose por sus propios medios.
[6]
National Institute of
Standards and Technology (Instituto
Nacional de Estándares y Tecnología), agencia de la Administración
de Tecnología del Departamento de Comercio de los Estados Unidos.
[7]
CVSSv2 son las iniciales de Common Vulnerability Score System (version 2). Sistema
de clasificación que intenta estimar el potencial impacto de una
vulnerabilidad.
[8] Exploit es un término informático que
denomina a un código (programa) cuya finalidad es aprovechar una vulnerabilidad
(o agujero) de seguridad.
[9]
Caballo de Troya es un término
informático para designar un programa malicioso que está diseñado para tratar
de pasar desapercibido, escondiéndose en las profundidades de la estructura del
disco duro y/o aparentando ser cualquier cosa inocua. Su objetivo es dejar
pasar el tiempo, para después ‘despertar’, ya sea para atacar y dañar el
ordenador o, en cambio, para intentar tomar control de él.
[10]
NSA son las iniciales de National
Security Agency (Agencia Nacional de Seguridad).
[11]
Ransomware es un término informático
para malware de rescate, cuya característica es que impide a los usuarios
acceder a los datos de su ordenador, exigiendo un pago de rescate.
[12]
Coinminer es un término informático para indicar un malware tipo caballo de
troya, cuya finalidad es robar uso del CPU para minar (generar) criptomonedas.
[13]
Exploit kits es un término
informático para indicar una colección de exploits. Generalmente son
contenedores automatizados de diversos exploits, dirigidos a facilitar a
personas con pocos conocimientos técnicos informáticos la posibilidad de
explotar vulnerabilidades.
[14]
Shodan,
el buscador
de dispositivos conectados, indica que hay alrededor de unos 3
millones de ordenadores con el RDP activado.
[15]
WannaCry fue un famoso ransomware que
explota la vulnerabilidad EternalBlue, presuntamente creado por el norcoreano
Park Jin Hyok, que en el 2017 afectó a 150 países, el sistema de salud
británico, los ferrocarriles alemanes y entre muchas empresas de importancia,
afectó a las empresas españolas Telefónica, Iberdrola y Gas Natural.
[16]
EternalBlue es un exploit
presuntamente creado por la NSA que aprovechaba una vulnerabilidad en Windows y
que presuntamente era usado para espiar, por lo menos desde el 2012. Tras ser robado
en el 2017 y filtrado al público por un misterio grupo de hacker, que se
hicieron llamar Shadown Brokers, se
convirtió en la base de ataques maliciosos que han causado grandísimas pérdidas
valoradas en miles de millones de dólares.
[17]
Ataque realizado el 7 de mayo del 2019, y que por lo menos durante tres semanas
ha congelado miles de ordenadores, paralizando el correo electrónico e
interrumpido las ventas de bienes raíces, facturas de agua, pago de tasas, alertas
de salud y muchos otros servicios; los usuarios no pueden ni consultar ni sus
multas , ni su información básica. Paradójicamente Baltimore es la cuna de la
NSA.
[18] Se
estima que unos 10.000 ordenadores quedaron comprometidos entre Maryland,
Pensilvania y Texas.
[19]
NLA es la abreviatura de Network
Level Authentication.
No hay comentarios:
Publicar un comentario