Se ha dado a conocer una vulnerabilidad muy crítica en el servicio RDP para algunos sistemas windows. La explotación de esta vulnerabilidad es relativamente fácil, al ser un servicio muy utilizado y bastante expuesto, podría esto desencadenar en una ola de ransomware que afectarían millones de dispositivos en el mundo y para los cibercriminales una muy buena oportunidad para recibir una gran cantidad de dinero.
En América Latina, existen al rededor de 164.858 dispositivos con el servicio RDP expuesto a internet. Creemos que existe un gran porcentaje de estos que se ven afectados por esta vulnerabilidad y que no han sido parcheado.
Brazil, Mexico y Argentina encabezan la lista de países con el servicio RDP expuesto a internet.
Puedes ver mas de nuestro reporte en Shodan en el siguiente link.
Vulnerabilidad BlueKeep
Es posible que un atacante intente conectarse al sistema destino mediante RDP y al enviar un paquete especialmente diseñado, un atacante puede establecer el valor del ID del canal en algo que el servicio RDP no espera, lo que provoca un error de corrupción de memoria que creará las condiciones para que se produzca la ejecución remota de código. Si el atacante decide seguir con los paquetes diseñados para aprovechar esta falla, la ejecución remota de código se puede lograr con privilegios de usuario del sistema. Esta vulnerabilidad no requiere autenticación para ser explotada, la complejidad es baja y se explota a través de la red.
Chequea en HowlerMonkey las versiones de Microsoft Windows que se ven afectadas por la vulnerabilidad BlueKeep CVE-2019-0708.
Chequea si eres vulnerable
Los investigadores Jan Gocník y @zerosum0x0 crearon este script que permite chequear si tu servicio RDP es vulnerable o no.
Exploits públicos
Este exploit crea un crash en el sistema operativo, lo que puede producir una denegación de servicio - DoS. No tardará en salir un exploit en los próximos días que gane acceso con privilegios de un usuario del sistema.
Aplica el parche YA!
Microsoft ha disponibilizado los parches para cada uno de los sistemas operativos
y versiones afectadas que cuentan con soporte oficial. Dado a la gravedad del caso, si tu sistema no cuenta con soporte oficial, no te preocupes, Microsoft ha liberado un parche especial para esta vulnerabilidad así que puedes instalar el parche que se encuentra en el siguiente link.
Recomendaciones:
Aplicar el Secutiy Update de acuerdo a la versión del sistema operativo afectado lo antes posible. Recuerda reiniciar para que tome el parche.
No es recomendable que expongas el servicio RDP a internet, bloquea el puerto 3389/tcp en el firewall de borde.
Sí necesitas conectarte de forma remota, entonces es mejor que te conectes vía VPN y luego a tu servidor.
Sí no usas el servicio RDP, entonces es mejor que lo deshabilites.
Sí de igual forma vas a usar RDP, cambia el puerto 3389/tcp a otro puerto. De esta forma evitaras gran parte de los ataques automatizados que solo buscan el puerto 3389/tcp.
Recuerda de no configurar la regla por defecto en el firewall de borde. Asegúrate permitir acceso solo desde orígenes confiables.
Monitorea las conexiones a tu servicio RDP, habilita los logs, customiza y actualiza las firmas de tu HIDS o IPS para que puedas detectar conexiones anormales y poder tomar alguna acción.