A dos semanas de que Microsoft lanzara sus parches mensuales de seguridad, se ha detectado una nueva vulnerabilidad que permitiría a un atacante causar gran impacto en sistemas no protegidos con métodos parecidos a WannaCry.
Apodado como BlueKeep, la vulnerabilidad podría afectar a las versiones de Windows 2003, Windows XP, Windows 7, Windows Server 2008 y 2008 R2, pudiendo propagarse automáticamente en sistemas no protegidos. Tiene tanto potencial para causar impacto que forzó a Microsoft a lanzar parches no solo para las versiones de Windows vigentes, sino también para sus versiones sin soporte como Windows XP, Windows Vista y Windows Server 2003 que aún son ampliamente usado a nivel mundial.
Su modo de operación, se basa en la intrusión de un usuario remoto no autenticado que ejecuta código malicioso para tomar el control de un equipo simplemente enviando solicitudes especialmente diseñadas al “Servicio de escritorio remoto” (RDS) del dispositivo a través del protocolo RDP, sin necesidad de interacción alguna por parte del usuario.
Chile también se ha visto afectado, ya que según una investigación realizada por “CRONUP”, quienes mantienen el monitoreo desde que se informó sobre la vulnerabilidad, se ha logrado identificar un aumento progresivo en conexiones sin credenciales de autenticación y con envío de data a través del puerto 3389 que se enlazan a la explotación de esta vulnerabilidad. Lo más destacable es que aún existen más de 950.000 equipos vulnerables a nivel mundial.
Los países de origen de los ataques son conocidos, entre ellos predominan Rusia, China, Malasia, Estados Unidos y Alemania.
Se recomienda lo siguiente:
- Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
- Bloquee el puerto 3389 utilizando un firewall o hágalo accesible sólo a través de una VPN privada.
- Habilitar la autenticación de nivel de red (NLA): esta es una mitigación parcial para evitar que cualquier atacante no autenticado explote esta falla Wormable.
El listado de las CVE se adjunta a continuación:
| Producto | Versión |
|---|---|
| Microsoft Windows |
XP Vista 7 |
| Microsoft Windows Server |
2003 2008 2008 R2 |
| Tipo | Indicador |
|---|---|
| ip | 78.155.223.210 |
| ip | 31.184.227.186 |
| ip | 78.155.223.211 |
| ip | 61.6.51.242 |
| ip | 46.182.29.37 |
| ip | 188.246.224.44 |
| ip | 188.246.224.47 |
| ip | 210.72.16.35 |
| ip | 58.218.204.196 |
| ip | 107.6.183.226 |
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.