Vulnerabilidad BlueKeep RDP (CVE-2019-0708) de Windows
El 14 de mayo de 2019, Microsoft lanzó correcciones para una vulnerabilidad crítica de Ejecución remota de código llamada CVE-2019-0708 (ya apodada “BlueKeep”). La vulnerabilidad concierne a los Servicios de Escritorio Remoto (antes de eso llamados Servicios de Terminal Server) que afectan a ciertas versiones anteriores de Windows.
CVE-2019-0708 podría permitir que un atacante ejecute código remoto en una máquina vulnerable que ejecuta el Protocolo de escritorio remoto (RDP). Debido a que la vulnerabilidad es ininteligible, podría propagarse extremadamente rápidamente y comprometer a millones de sistemas en todo el mundo en un lapso muy corto de tiempo.
La vulnerabilidad se considera “tipo gusano”, lo que significa que tiene el potencial de ser utilizado en un malware que se propague solo a través de redes y entre ellas.
Los ordenadores en las redes en todo el mundo tienen el RDP expuesto al mundo exterior para que puedan administrarse no solo a través de su red local sino también a través de Internet.
Los números de objetivos, y el potencial de una propagación explosiva y exponencial en cualquier caso en la que se puede acceder a su RDP desde el exterior es una puerta de entrada potencial para que un ataque automatizado la convierta en una nueva víctima.
El equipo de seguridad de Think Networks recomienda a las organizaciones apliquen las siguientes medidas de seguridad:
RECOMENDACIONES
Actualización de parches
Primero, enfóquese en la aplicación de parches a los servidores RDP externos, luego pase a los servidores críticos, como los controladores de dominio y los servidores de administración. Finalmente, aplique parches a los servidores no críticos que tienen RDP habilitado, junto con el resto del estado del escritorio. Puede encontrar más información sobre cómo aplicar el parche desde las páginas de soporte de Microsoft.
Habilitar la autenticación de nivel de red
La autenticación de nivel de red (NLA) se puede usar para mitigar parcialmente esta vulnerabilidad. La habilitación de NLA obligará a los atacantes a tener credenciales válidas para realizar RCE.
Bloqueo del puerto TCP 3389 en el firewall perimetral de la empresa
El puerto TCP 3389 se utiliza para iniciar una conexión con el sistema afectado. El bloqueo de este puerto con un firewall, preferiblemente a nivel de perímetro de la red, ayudará a proteger los sistemas que se encuentran dentro de la red segura.
Deshabilite los servicios de escritorio remoto si no son necesarios
En caso de que no necesite estos servicios en su entorno, considere desactivarlos. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
