Hace aproximadamente seis semanas, Microsoft dio el paso inusual de lanzar parches destinados a proteger las versiones de sus sistemas operativos que ya no reciben actualizaciones regulares y han llegado al «final de su vida útil», como Windows XP. Es algo que el gigante del software solo ha sentido la necesidad de hacer en un puñado de ocasiones, por lo que puede tomarse como una señal de que algo muy serio está sucediendo.
En este caso, algo serio fue CVE-2019-0708, una vulnerabilidad grave de RDP, que pronto se conocería mejor como BlueKeep. El RDP (Protocolo de Escritorio Remoto) es lo que permite a las personas controlar máquinas de Windows con una interfaz gráfica de usuario completa, a través de Internet. Las millones de máquinas conectadas a Internet que ejecutan RDP incluyen desde servidores alojados en la nube hasta escritorios de Windows utilizados por trabajadores remotos, y cada uno es una potencial puerta de entrada a la red local de una organización.
La vulnerabilidad “tipo gusano” BlueKeep permite el acceso no autenticado a través de RDP, brindando a los atacantes la capacidad de emitir comandos para instalar malware, modificar datos y crear nuevas cuentas de usuario. El mismo afecta a los equipos que ejecutan Windows XP, Windows 7, Windows Server 2003 y Windows Server 2008.
A raíz de varios informes que muestran que la cantidad de servidores RDP sin parchear en Internet sigue siendo muy alta- a pesar de las advertencias de expertos y agencias gubernamentales- el equipo de SophosLabs Offensive Research ha desarrollado un ataque Blue Keep con una prueba de concepto (POC), utilizando un exploit propio para explicar cómo esta vulnerabilidad sigue siendo una amenaza grave y ayudará a Sophos a aprender cómo CVE-2019-0708 puede ser explotado por criminales.
El código es demasiado peligroso para ser publicado, por lo que SophosLabs ha grabado un video que muestra que el exploit se está utilizando para obtener el control total de un sistema remoto sin autenticación.
El exploit funciona completamente sin archivos, proporcionando el control total de un sistema remoto sin tener que implementar ningún malware. Tampoco requiere una sesión activa en el objetivo. El desarrollo de este exploit se produjo como resultado de un arduo proceso de ingeniería inversa del parche lanzado por Microsoft en mayo para examinar lo que estaba tratando de arreglar.
Si bien, muchos analistas de seguridad ya han publicado su propio código de prueba de concepto, éstos solo son capaces de hacer fallar Windows provocando un error de «Pantalla azul de la muerte» (BSOD). Este tipo de ataque hace que la computadora quede inutilizable hasta que se reinicie; Técnicamente es una forma de ataque de denegación de servicio.
Andrew Brandt, Investigador Principal de Sophos, dice: “El método construido por Sophos Labs no es solo DoS, después de ejecutar el código de explotación, un atacante hipotético puede iniciar un shell de comandos que aparece antes del inicio de sesión, en la pantalla de inicio de sesión de Windows. Nuestro investigador que trabajó en el desarrollo de la vulnerabilidad PoC eligió usar una técnica algo diferente a la del código PoC público.” También es un método distinto al que se usa en los PoC funcionales (es decir, explotaciones que no causan bloqueos).
“Esperamos que este video pueda convencer a las personas y organizaciones que aún no hayan parcheado BlueKeep de que realmente se trata de una amenaza grave.” El experto recomienda: “Si aún no ha actualizado sus computadoras con Windows, hágalo ahora. Creemos que es solo cuestión de tiempo antes de que alguien se aproveche de esto, y la mejor defensa que puede tener es ese parche. Además, cierre todos los firewalls que exponen RDP a Internet abierto.”
Puede leer más sobre el exploit de SophosLabs BlueKeep en el sitio Sophos News.
