Exploits disponibles para vulnerabilidades BlueGate en productos Windows Server

28 Enero 2020
Crítico

Según lo informado por  nuestro Centro de Ciberinteligencia en el boletín de fecha 15  de enero del presente año, Microsoft lanzó correcciones de software para abordar algunas vulnerabilidades como parte de su anuncio mensual de Patch Tuesday. 

Días después de informar dichas vulnerabilidades, el grupo de investigadores de  InfoGuard AG, demostró a través de la ejecución de código remoto, un exploit que aprovecha las vulnerabilidades CVE-2020-0609 y CVE-2020-0610 ya parcheadas por Microsoft, en el componente de Remote Desktop Gateway (RD Gateway) en dispositivos que ejecutan Windows Server (2012 , 2012 R2 , 2016 y 2019), logrando un ataque de denegación de servicio.

Para aprovechar esta vulnerabilidad, un atacante necesitaría enviar una solicitud especialmente diseñada a la puerta de enlace RD de los sistemas de destino a través de RDP. La actualización corrige la vulnerabilidad al cambiar cómo RD Gateway maneja las solicitudes de conexión.

Lo que llama la atención, es que en las muestras analizadas por los investigadores de seguridad de KryptosLogic, indicaron que existen algunos escáneres que permiten verificar si un sistema Windows Server es vulnerable o no, indicando una cifra aproximada de más de 20.000 servidores RDP Gateway sin parches conectados a internet, lo cual permitirá realizar la explotación con éxito de las CVE correspondientes,  dando a los atacantes no autenticados la posibilidad de ejecutar código arbitrario en sistemas vulnerables sin el parcheado correspondiente.

Se recomienda lo siguiente:

  • Instalar las actualizaciones disponibles por Microsoft lo antes posible en las versiones afectadas en Windows Server.
  • Se recomienda generar una regla personalizada en los dispositivos perimetrales con la finalidad de generar bloqueo preventivo de tráfico entrante no autorizado por el puerto 3391, ya que se detecta que es un puerto vulnerable que podría ofrecer explotar la presente vulnerabilidad.
  • Se recomienda habilitar además la autenticación a nivel de red (NLA), ya que sería una mitigación parcial con el objetivo de evitar que cualquier atacante no autenticado explote esta vulnerabilidad en los sistemas operativos de Windows Server.
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.

El listado de las CVE se adjunta a continuación:


Tags: #Microsoft #WindowsServer #Exploit #RCE #parche #patch #vulnerabilidad #RDP #NLA
  • Productos Afectados
  • Producto Versión
    Windows Server 2012
    2012 R2
    2016
    2019


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.