azulmantener

Agujero de seguridad de Windows

BlueKeep ( CVE - 2019-0708) es una vulnerabilidad de seguridad que se descubrió en la implementación del Protocolo de escritorio remoto (RDP) de Microsoft , que permite la posibilidad de ejecución remota de código .

Reportado por primera vez en mayo de 2019, está presente en todas las versiones de Microsoft Windows basadas en Windows NT sin parches, desde Windows 2000 hasta Windows Server 2008 R2 y Windows 7 . Microsoft emitió un parche de seguridad (incluida una actualización fuera de banda para varias versiones de Windows que han llegado al final de su vida útil, como Windows XP ) el 14 de mayo de 2019. El 13 de agosto de 2019, las vulnerabilidades de seguridad relacionadas de BlueKeep, colectivamente llamado DejaBlue , se informó que afectaba a las versiones más recientes de Windows, incluido Windows 7 y todas las versiones recientes hasta Windows 10 del sistema operativo, así como las versiones anteriores de Windows. ^[3] El 6 de septiembre de 2019, se anunció que se había lanzado al ámbito público un exploit de Metasploit de la vulnerabilidad de seguridad BlueKeep , que se puede eliminar con gusanos. ^[4]

Historia

La vulnerabilidad de seguridad de BlueKeep fue detectada por primera vez por el Centro Nacional de Seguridad Cibernética del Reino Unido ^[2] y, el 14 de mayo de 2019, informó Microsoft . La vulnerabilidad fue denominada BlueKeep por el experto en seguridad informática Kevin Beaumont en Twitter. BlueKeep tiene un seguimiento oficial como: CVE- 2019-0708 y es una vulnerabilidad de ejecución remota de código " que se puede eliminar con gusanos " . ^{[5] [6]}

Tanto la Agencia de Seguridad Nacional de EE. UU . (que emitió su propio aviso sobre la vulnerabilidad el 4 de junio de 2019) ^[7] como Microsoft declararon que esta vulnerabilidad podría ser utilizada potencialmente por gusanos autopropagantes , y Microsoft (según la estimación de un investigador de seguridad de que casi 1 millón de dispositivos eran vulnerables) diciendo que un ataque teórico de este tipo podría ser de una escala similar a los ataques basados ​​en EternalBlue como NotPetya y WannaCry . ^{[8] [9] [7]}

El mismo día del aviso de la NSA, los investigadores del Centro de Coordinación CERT revelaron un problema de seguridad separado relacionado con RDP en la actualización de Windows 10 de mayo de 2019 y Windows Server 2019 , citando un nuevo comportamiento en el que las credenciales de inicio de sesión de autenticación a nivel de red (NLA) de RDP son almacenado en caché en el sistema cliente, y el usuario puede recuperar el acceso a su conexión RDP automáticamente si se interrumpe su conexión de red. Microsoft descartó esta vulnerabilidad como un comportamiento previsto y se puede desactivar mediante la Política de grupo . ^[10]

A partir del 1 de junio de 2019, no parecía que se conociera públicamente ningún malware activo de la vulnerabilidad; sin embargo, es posible que hayan estado disponibles códigos de prueba de concepto (PoC) no divulgados que explotan la vulnerabilidad. ^{[8] [11] [12] [13]} El 1 de julio de 2019, Sophos , una empresa de seguridad británica, informó sobre un ejemplo práctico de tal PoC, para enfatizar la urgente necesidad de parchear la vulnerabilidad. ^{[14] [15] [16]} El 22 de julio de 2019, un orador de una conferencia de una empresa de seguridad china supuestamente reveló más detalles de un exploit. ^[17] El 25 de julio de 2019, expertos en informática informaron que podría haber disponible una versión comercial del exploit. ^{[18] [19]} El 31 de julio de 2019, expertos en informática informaron de un aumento significativo en la actividad maliciosa de RDP y advirtieron, basándose en historiales de exploits de vulnerabilidades similares, que un exploit activo de la vulnerabilidad BlueKeep en la naturaleza podría ser inminente. ^[20]

El 13 de agosto de 2019, se informó que las vulnerabilidades de seguridad relacionadas con BlueKeep, denominadas colectivamente DejaBlue , afectaban a las versiones más recientes de Windows, incluido Windows 7 y todas las versiones recientes del sistema operativo hasta Windows 10 , así como las versiones anteriores de Windows. ^[3]

El 6 de septiembre de 2019, se anunció que se había lanzado al ámbito público un exploit de la vulnerabilidad de seguridad BlueKeep, que se puede eliminar con gusanos. ^[4] Sin embargo, la versión inicial de este exploit no era confiable y se sabía que causaba errores de " pantalla azul de la muerte " (BSOD). Posteriormente se anunció una solución que eliminaba la causa del error BSOD. ^[21]

El 2 de noviembre de 2019, se informó sobre la primera campaña de piratería de BlueKeep a gran escala, que incluyó una misión fallida de criptojacking. ^[22]

El 8 de noviembre de 2019, Microsoft confirmó un ataque BlueKeep e instó a los usuarios a parchear inmediatamente sus sistemas Windows. ^[23]

Mecanismo

El protocolo RDP utiliza "canales virtuales", configurados antes de la autenticación, como ruta de datos entre el cliente y el servidor para proporcionar extensiones. RDP 5.1 define 32 canales virtuales "estáticos", y los canales virtuales "dinámicos" están contenidos dentro de uno de estos canales estáticos. Si un servidor vincula el canal virtual "MS_T120" (un canal para el cual no existe una razón legítima para que un cliente se conecte) con un canal estático distinto del 31, se produce una corrupción del montón que permite la ejecución de código arbitrario a nivel del sistema. ^[24]

Microsoft calificó a Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 y Windows Server 2008 R2 como vulnerables a este ataque. Las versiones posteriores a la 7, como Windows 8 y Windows 10 , no se vieron afectadas. La Agencia de Seguridad de Infraestructura y Ciberseguridad afirmó que también había logrado ejecutar con éxito el código a través de la vulnerabilidad en Windows 2000 . ^[25]

Mitigación

Microsoft lanzó parches para la vulnerabilidad el 14 de mayo de 2019, para Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 y Windows Server 2008 R2 . Esto incluía versiones de Windows que han llegado al final de su vida útil (como Vista, XP y Server 2003) y, por lo tanto, ya no son elegibles para recibir actualizaciones de seguridad. ^[8] El parche obliga al canal "MS_T120" antes mencionado a estar siempre vinculado a 31 incluso si un servidor RDP solicita lo contrario. ^[24]

La NSA recomendó medidas adicionales, como deshabilitar los Servicios de Escritorio remoto y su puerto asociado ( TCP 3389) si no se está utilizando, y requerir Autenticación a nivel de red (NLA) para RDP. ^[26] Según la empresa de seguridad informática Sophos , la autenticación de dos factores puede hacer que el problema RDP sea menos vulnerable. Sin embargo, la mejor protección es quitar RDP de Internet: apague RDP si no es necesario y, si es necesario, haga que RDP sea accesible solo a través de una VPN . ^[27]

Ver también

• Ataque de ransomware Bad Rabbit - 2017
• Blaster (gusano informático)
• Ciberataque Dyn – 2016
• Sasser (gusano informático)
• EternoAzul

Referencias

1. Foley, Mary Jo (14 de mayo de 2019). "Microsoft parchea Windows XP y Server 2003 para intentar evitar fallas 'desparasitables'". ZDNet . Consultado el 7 de junio de 2019 .
2. Microsoft (mayo de 2019). "Guía de actualización de seguridad: agradecimientos, mayo de 2019". Microsoft . Consultado el 7 de junio de 2019 .
3. Greenberg, Andy (13 de agosto de 2019). "DejaBlue: nuevos errores estilo BlueKeep renuevan el riesgo de un gusano de Windows". Cableado . Consultado el 13 de agosto de 2019 .
4. Goodin, Dan (6 de septiembre de 2019). "El exploit para el error BlueKeep de Windows que se puede eliminar con gusanos se lanzó al mercado: el módulo Metasploit no está tan pulido como el exploit EternalBlue. Aún así, es poderoso". Ars Técnica . Consultado el 6 de septiembre de 2019 .
5. "Guía para el cliente para CVE-2019-0708: vulnerabilidad de ejecución remota de código de servicios de escritorio remoto". Microsoft . 2019-05-14 . Consultado el 29 de mayo de 2019 .
6. "CVE-2019-0708 Vulnerabilidad de ejecución remota de código de servicios de escritorio remoto: vulnerabilidad de seguridad". Microsoft . 2019-05-14 . Consultado el 28 de mayo de 2019 .
7. Cimpanu, Catalin. "Incluso la NSA insta a los usuarios de Windows a parchear BlueKeep (CVE-2019-0708)". ZDNet . Consultado el 20 de junio de 2019 .
8. Goodin, Dan (31 de mayo de 2019). "Microsoft prácticamente ruega a los usuarios de Windows que solucionen el defecto de BlueKeep que se puede eliminar con gusanos". Ars Técnica . Consultado el 31 de mayo de 2019 .
9. Warren, Tom (14 de mayo de 2019). "Microsoft advierte sobre un importante exploit de seguridad de Windows similar a WannaCry y lanza parches para XP". El borde . Consultado el 20 de junio de 2019 .
10. "Microsoft descarta el nuevo 'error' de Windows RDP como característica". Seguridad desnuda . 2019-06-06 . Consultado el 20 de junio de 2019 .
11. Whittaker, Zack (31 de mayo de 2019). "Microsoft advierte a los usuarios que apliquen parches cuando aparezcan exploits para el error BlueKeep 'desparasitable'". TechCrunch . Consultado el 31 de mayo de 2019 .
12. O'Neill, Patrick Howell (31 de mayo de 2019). "Necesita parchear sus PC con Windows más antiguas ahora mismo para corregir un defecto grave". Gizmodo . Consultado el 31 de mayo de 2019 .
13. Winder, Davey (1 de junio de 2019). "Microsoft emite una advertencia 'Actualizar ahora' para los usuarios de Windows". Forbes . Consultado el 1 de junio de 2019 .
14. Palmer, Danny (2 de julio de 2019). "BlueKeep: los investigadores muestran cuán peligroso podría ser realmente este exploit de Windows. Los investigadores desarrollan un ataque de prueba de concepto después de aplicar ingeniería inversa al parche Microsoft BlueKeep". ZDNet . Consultado el 2 de julio de 2019 .
15. Stockley, Mark (1 de julio de 2019). "El exploit RDP BlueKeep muestra por qué realmente es necesario aplicar un parche". NakedSecurity.com . Consultado el 1 de julio de 2019 .
16. Personal (29 de mayo de 2019). "CVE-2019-0708: Vulnerabilidad de ejecución remota de código de Servicios de Escritorio remoto (conocida como BlueKeep): Boletín de soporte técnico". Sofos . Consultado el 2 de julio de 2019 .
17. Goodin, Dan (22 de julio de 2019). "Las posibilidades de un exploit destructivo de BlueKeep aumentan con una nueva explicación publicada en línea: las diapositivas brindan la documentación técnica disponible públicamente más detallada vista hasta ahora". Ars Técnica . Consultado el 23 de julio de 2019 .
18. Cimpanu, Catalin (25 de julio de 2019). "Empresa estadounidense que vende exploit BlueKeep armado: ahora se vende comercialmente un exploit para una vulnerabilidad que Microsoft temía que pudiera desencadenar el próximo WannaCry". ZDNet . Consultado el 25 de julio de 2019 .
19. Franceschi-Bicchieral, Lorenzo (26 de julio de 2019). "La empresa de ciberseguridad elimina el código para la increíblemente peligrosa vulnerabilidad 'BlueKeep' de Windows: investigadores del contratista del gobierno de EE. UU. Immunity han desarrollado un exploit funcional para el temido error de Windows conocido como BlueKeep". Vicio . Consultado el 26 de julio de 2019 .
20. Rudis, Bob (31 de julio de 2019). "Es posible que se produzcan exploits de BlueKeep: nuestras observaciones y recomendaciones". Rapid7.com . Consultado el 1 de agosto de 2019 .
21. Cimpanu, Catalin (11 de noviembre de 2019). "Exploitación de BlueKeep para solucionar su problema BSOD". ZDNet .
22. Greenberg, Andy (2 de noviembre de 2019). "El primer hackeo masivo de BlueKeep finalmente está aquí, pero que no cunda el pánico: después de meses de advertencias, llegó el primer ataque exitoso utilizando la vulnerabilidad BlueKeep de Microsoft, pero no es tan malo como podría haber sido". Cableado . Consultado el 3 de noviembre de 2019 .
23. "Microsoft trabaja con investigadores para detectar y proteger contra nuevos exploits RDP". Microsoft . 2019-11-07 . Consultado el 9 de noviembre de 2019 .
24. "RDP significa" Really DO Patch!" - Comprensión de la vulnerabilidad Wormable RDP CVE-2019-0708". Blogs de McAfee . 2019-05-21 . Consultado el 19 de junio de 2019 .
25. Tung, Liam. "Seguridad nacional: hemos probado el ataque Windows BlueKeep y ahora funciona como parche". ZDNet . Consultado el 20 de junio de 2019 .
26. Cimpanu, Catalín. "Incluso la NSA insta a los usuarios de Windows a parchear BlueKeep (CVE-2019-0708)". ZDNet . Consultado el 20 de junio de 2019 .
27. Stockley, Mark (17 de julio de 2019). "RDP al descubierto: los lobos ya están a tu puerta". Sofos . Consultado el 17 de julio de 2019 .

enlaces externos

• BlueKeep: parches de Windows Update AQUÍ, AQUÍ y AQUÍ ( Microsoft ).
• Prueba de concepto del defecto de Sophos
• Discusión técnica de la falla en YouTube.