Alrededor de un millón de equipos son vulnerables a BlueKeep

28 Mayo 2019
Crítico

A dos semanas de que Microsoft lanzara sus parches mensuales de seguridad, se ha detectado una nueva vulnerabilidad que permitiría a un atacante causar gran impacto en sistemas no protegidos con métodos parecidos a WannaCry.

Apodado como BlueKeep, la vulnerabilidad podría afectar a las versiones de Windows 2003, Windows XP, Windows 7, Windows Server 2008 y 2008 R2, pudiendo propagarse automáticamente en sistemas no protegidos. Tiene tanto potencial para causar impacto que forzó a Microsoft a lanzar parches no solo para las versiones de Windows vigentes, sino también para sus versiones sin soporte como Windows XP, Windows Vista y Windows Server 2003 que aún son ampliamente usado a nivel mundial.

Su modo de operación, se basa en la intrusión de un usuario remoto no autenticado que ejecuta código malicioso para tomar el control de un equipo simplemente enviando solicitudes especialmente diseñadas al “Servicio de escritorio remoto” (RDS) del dispositivo a través del protocolo RDP, sin necesidad de interacción alguna por parte del usuario.

Chile también se ha visto afectado, ya que según una investigación realizada por “CRONUP”, quienes mantienen el monitoreo desde que se informó sobre la vulnerabilidad, se ha logrado identificar un aumento progresivo en conexiones sin credenciales de autenticación y con envío de data a través del puerto 3389 que se enlazan a la explotación de esta vulnerabilidad. Lo más destacable es que aún existen más de 950.000 equipos vulnerables a nivel mundial.

Los países de origen de los ataques son conocidos, entre ellos predominan Rusia, China, Malasia, Estados Unidos y Alemania.

Se recomienda lo siguiente:

- Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.

- Bloquee el puerto 3389 utilizando un firewall o hágalo accesible sólo a través de una VPN privada.

- Habilitar la autenticación de nivel de red (NLA): esta es una mitigación parcial para evitar que cualquier atacante no autenticado explote esta falla Wormable.

El listado de las CVE se adjunta a continuación:


Tags: #windows #rdp #bluekeep #wannacry #chile


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.