El último viernes fue añadido un exploit para la vulnerabilidad de Windows conocida como Bluekeep (CVE-2019-0708) al framework de pentesting Metasploit.
Recordemos que BlueKeep hace referencia a un fallo de seguridad “wormeable” presente en el protocolo de escritorio remoto de Windows (RDP) que permitiría la ejecución de código arbitrario de forma remota y sin requerir autenticación previa, lo que implica que un atacante podría tener control total de sistemas vulnerables.
La plataforma de ataque es bastante amplia y seguramente resulte atractiva a los ciberciminales, debido a que esta vulnerabilidad se encuentra presente en los siguientes sistemas operativos:
- Windows Server 2003
- Windows XP
- Windows 7
- Windows Server 2008
- Windows Server 2008 R2
Si bien hace ya varios meses Microsoft ha publicado parches para resolver la misma, incluso para los sistemas que ya habían llegado a su End-Of-Life, sigue habiendo muchos dispositivos que continúan siendo vulnerables debido a la dificultad que supone en muchos casos para las organizaciones el aplicar parches sin que ésto resulte disruptivo para la operación.
El exploit publicado en MetaSploit está diseñado para funcionar únicamente con las versiones de 64-bit de Windows 7 y Windows Server 2008 R2. Sin embargo solo es cuestión de tiempo que cibercriminales aprovechen el mismo para desarrollar exploits para el resto de los sistemas operativos vulnerables y preparar una pieza de malware que, debido a la naturaleza “wormeable” de la vulnerabilidad, podría causar un ataque masivo con una propagación similar a la que se experimentó en el año 2017 con WannaCry.
Por nuestra parte, recomendamos nuevamente aplicar los parches a la brevedad sobre los equipos vulnerables porque cada vez falta menos para que comencemos a ver ataques explotando esta vulnerabilidad a través de Internet, atacando dispositivos vulnerables con el servicio de RDP expuesto. También es recomendable deshabilitar el servicio de RDP en aquellos servidores y endpoints en los que no sea necesario tenerlo activo.
Aquellos que sean clientes de Trend Micro, ya pueden comenzar a a protegerse ante la explotación de esta vulnerabilidad utilizando la tecnología de Virtual Patching presente en el módulo IPS de los agentes Deep Security, Vulnerability Protection o Apex One y también con las reglas de Network IPS presente en TippingPoint.
Reglas
Deep Security, Vulnerability Protection y Apex One
Regla 1009749 – Microsoft Windows Remote Desktop Services Remote Code Execution Vulnerability (CVE-2019-0708)
TippingPoint
Filtro 35285 – RDP: Windows Remote Desktop Services Remote Code Execution Vulnerability
Parches de Sistema Operativo
Windows XP y Windows Server 2003
Customer guidance for CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability
Windows 7, Windows Server 2008 y Windows Server 2008 R2
CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability
