BlueKeep ( CVE - 2019-0708) es una vulnerabilidad de seguridad que se descubrió en la implementación del Protocolo de escritorio remoto (RDP) de Microsoft , que permite la posibilidad de ejecución remota de código .
Reportado por primera vez en mayo de 2019, está presente en todas las versiones de Microsoft Windows basadas en Windows NT sin parches, desde Windows 2000 hasta Windows Server 2008 R2 y Windows 7 . Microsoft emitió un parche de seguridad (incluida una actualización fuera de banda para varias versiones de Windows que han llegado al final de su vida útil, como Windows XP ) el 14 de mayo de 2019. El 13 de agosto de 2019, las vulnerabilidades de seguridad relacionadas de BlueKeep, colectivamente llamado DejaBlue , se informó que afectaba a las versiones más recientes de Windows, incluido Windows 7 y todas las versiones recientes hasta Windows 10 del sistema operativo, así como las versiones anteriores de Windows. [3] El 6 de septiembre de 2019, se anunció que se había lanzado al ámbito público un exploit de Metasploit de la vulnerabilidad de seguridad BlueKeep , que se puede eliminar con gusanos. [4]
La vulnerabilidad de seguridad de BlueKeep fue detectada por primera vez por el Centro Nacional de Seguridad Cibernética del Reino Unido [2] y, el 14 de mayo de 2019, informó Microsoft . La vulnerabilidad fue denominada BlueKeep por el experto en seguridad informática Kevin Beaumont en Twitter. BlueKeep tiene un seguimiento oficial como: CVE- 2019-0708 y es una vulnerabilidad de ejecución remota de código " que se puede eliminar con gusanos " . [5] [6]
Tanto la Agencia de Seguridad Nacional de EE. UU . (que emitió su propio aviso sobre la vulnerabilidad el 4 de junio de 2019) [7] como Microsoft declararon que esta vulnerabilidad podría ser utilizada potencialmente por gusanos autopropagantes , y Microsoft (según la estimación de un investigador de seguridad de que casi 1 millón de dispositivos eran vulnerables) diciendo que un ataque teórico de este tipo podría ser de una escala similar a los ataques basados en EternalBlue como NotPetya y WannaCry . [8] [9] [7]
El mismo día del aviso de la NSA, los investigadores del Centro de Coordinación CERT revelaron un problema de seguridad separado relacionado con RDP en la actualización de Windows 10 de mayo de 2019 y Windows Server 2019 , citando un nuevo comportamiento en el que las credenciales de inicio de sesión de autenticación a nivel de red (NLA) de RDP son almacenado en caché en el sistema cliente, y el usuario puede recuperar el acceso a su conexión RDP automáticamente si se interrumpe su conexión de red. Microsoft descartó esta vulnerabilidad como un comportamiento previsto y se puede desactivar mediante la Política de grupo . [10]
A partir del 1 de junio de 2019, no parecía que se conociera públicamente ningún malware activo de la vulnerabilidad; sin embargo, es posible que hayan estado disponibles códigos de prueba de concepto (PoC) no divulgados que explotan la vulnerabilidad. [8] [11] [12] [13] El 1 de julio de 2019, Sophos , una empresa de seguridad británica, informó sobre un ejemplo práctico de tal PoC, para enfatizar la urgente necesidad de parchear la vulnerabilidad. [14] [15] [16] El 22 de julio de 2019, un orador de una conferencia de una empresa de seguridad china supuestamente reveló más detalles de un exploit. [17] El 25 de julio de 2019, expertos en informática informaron que podría haber disponible una versión comercial del exploit. [18] [19] El 31 de julio de 2019, expertos en informática informaron de un aumento significativo en la actividad maliciosa de RDP y advirtieron, basándose en historiales de exploits de vulnerabilidades similares, que un exploit activo de la vulnerabilidad BlueKeep en la naturaleza podría ser inminente. [20]
El 13 de agosto de 2019, se informó que las vulnerabilidades de seguridad relacionadas con BlueKeep, denominadas colectivamente DejaBlue , afectaban a las versiones más recientes de Windows, incluido Windows 7 y todas las versiones recientes del sistema operativo hasta Windows 10 , así como las versiones anteriores de Windows. [3]
El 6 de septiembre de 2019, se anunció que se había lanzado al ámbito público un exploit de la vulnerabilidad de seguridad BlueKeep, que se puede eliminar con gusanos. [4] Sin embargo, la versión inicial de este exploit no era confiable y se sabía que causaba errores de " pantalla azul de la muerte " (BSOD). Posteriormente se anunció una solución que eliminaba la causa del error BSOD. [21]
El 2 de noviembre de 2019, se informó sobre la primera campaña de piratería de BlueKeep a gran escala, que incluyó una misión fallida de criptojacking. [22]
El 8 de noviembre de 2019, Microsoft confirmó un ataque BlueKeep e instó a los usuarios a parchear inmediatamente sus sistemas Windows. [23]
El protocolo RDP utiliza "canales virtuales", configurados antes de la autenticación, como ruta de datos entre el cliente y el servidor para proporcionar extensiones. RDP 5.1 define 32 canales virtuales "estáticos", y los canales virtuales "dinámicos" están contenidos dentro de uno de estos canales estáticos. Si un servidor vincula el canal virtual "MS_T120" (un canal para el cual no existe una razón legítima para que un cliente se conecte) con un canal estático distinto del 31, se produce una corrupción del montón que permite la ejecución de código arbitrario a nivel del sistema. [24]
Microsoft calificó a Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 y Windows Server 2008 R2 como vulnerables a este ataque. Las versiones posteriores a la 7, como Windows 8 y Windows 10 , no se vieron afectadas. La Agencia de Seguridad de Infraestructura y Ciberseguridad afirmó que también había logrado ejecutar con éxito el código a través de la vulnerabilidad en Windows 2000 . [25]
Microsoft lanzó parches para la vulnerabilidad el 14 de mayo de 2019, para Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 y Windows Server 2008 R2 . Esto incluía versiones de Windows que han llegado al final de su vida útil (como Vista, XP y Server 2003) y, por lo tanto, ya no son elegibles para recibir actualizaciones de seguridad. [8] El parche obliga al canal "MS_T120" antes mencionado a estar siempre vinculado a 31 incluso si un servidor RDP solicita lo contrario. [24]
La NSA recomendó medidas adicionales, como deshabilitar los Servicios de Escritorio remoto y su puerto asociado ( TCP 3389) si no se está utilizando, y requerir Autenticación a nivel de red (NLA) para RDP. [26] Según la empresa de seguridad informática Sophos , la autenticación de dos factores puede hacer que el problema RDP sea menos vulnerable. Sin embargo, la mejor protección es quitar RDP de Internet: apague RDP si no es necesario y, si es necesario, haga que RDP sea accesible solo a través de una VPN . [27]