BlueKeep y por qué deberías parchear versiones antiguas de Windows

Hace poco más de 1 semana el mundo se sobresaltó un poco por noticias que alertaban de un posible Wannacry en versión 2.0 y dejando millones de equipos informáticos de todo el mundo a los pies de los caballos.

BlueKeep y por qué deberías parchear versiones antiguas de Windows

El problema, es que una vulnerabilidad descubierta en el protocolo RDP / RDS de Windows permitiría realizar un ataque sin intervención del usuario. El ataque se haría con pre-autenticación, así que no sería necesario ni phishing ni engaño alguno de tipo «haz clic aquí».

Aplica parches para evitar a BlueKeep

RDP responde a Remote Desktop Protocol, que es un servicio incluido en versiones de Windows tan antiguas como Windows XP hasta nuestros días. Permite la conexión directa entre dos equipos para conceder el control remoto en un tipo de conexión cliente-servidor.

Este ataque se cataloga como (CVE-2019-0708) y afecta a versiones anteriores a Windows 8.1. Así lo explican en protegermipc:

Un atacante podría enviar una solicitud manipulada de tal forma que consiga entrar en el protocolo RDP (3389 TCP). Esto se debe a que existe una vulnerabilidad de Remote Code Execution que permite el acceso  pre-autenticado por error. Por tanto, el usuario ni siquiera tendría que hacer nada para que el ataque tenga éxito.

Básicamente, al enviar un paquete de solicitud modificado, el atacante obtendría privilegios totales sobre el equipo remoto, pudiendo hacer cualquier cosa imaginable. Contaría con los privilegios elevados del usuario en cuestión.

Versiones afectadas

  • Windows Server 2003
  • Windows Server 2008
  • Windows XP
  • Windows 7

Mantenerse a salvo es fácil…

…Pero no todo el mundo parece estar tomando las medidas rápidamente, ya que se estima que aún a día de hoy cerca de 1 millón de equipos conectados a internet seguirían siendo vulnerables a BlueKeep. Y eso que Microsoft publicó el parche pertinente el paso 14 de Mayo.

Tan lento está siendo el ritmo de actualización y tan alarmante es este problema, que hasta la NSA se ha visto obligada a «pedir» reiteradamente a los sysadmin que tomen medidas cuanto antes. Lo mismo ha hecho su homóloga británica GCHQ.

Por último, aquí unas medidas de mitigación temporales que pueden ayudar si el parche no puede aplicarse de inmediato:

  1. Bloquear puerto TCP 3389 en los firewalls, sobre todo de perímetro externo expuestos a internet.
  2. Habilitar NLA o Autenticación a Nivel de red para RDP, esto imposibilitaría la pre-autenticación durante el ataque
  3. Deshabilitar los servicios de escritorio remoto en aquellos servidores donde no sea necesario. Esto es más una buena práctica de bastionado y least privilege.

La industria está preocupada por las consecuencias de un posible ataque derivado de BlueKeep, esperemos que no tenga que pasar algo «gordo» para que nos concienciemos, como ya ocurriera con Wannacry. Tenemos la memoria muy corta…

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.