Hace dos semanas, Windows anunció el descubrimiento de una vulnerabilidad en los sistemas de Windows XP, Windows 7 y otros sistemas Windows más antiguos. La vulnerabilidad, llamada BlueKeep, que existe en los Servicios de Escritorio Remoto, potencialmente puede ser explotada como gusano. Esto quiere decir que un atacante podría utilizarla para lanzar un malware que se propaga automáticamente entre sistemas con la misma vulnerabilidad.
Windows facilitó un parche el día 14 de mayo y advirtió a los usuarios y las empresas que utilizan los sistemas afectados que era importante aplicar el parche lo antes posible.
Posible actividad cibercriminal
Y ahora, se ha detectado que ciberatacantes han empezado a escanear Internet en búsqueda de sistemas que contengan esta vulnerabilidad. Debido a las advertencias y el potencial peligro que puede suponer BlueKeep, la comunidad de la seguridad informática ha estado monitorizando la vulnerabilidad para avistar señales de ataques o de demos PoC (Proof of Concept) que podrían utilizarse para crear exploits de BlueKeep.
Aunque ningún investigador ha publicado un exploit de esta vulnerabilidad de momento, varias organizaciones han confirmado que han podido desarrollar exploits para BlueKeep, los cuales mantendrán secretos para no facilitar su uso en ciberataques.
Días después, el 24 de mayo, la empresa de inteligencia de amenazas, GreyNoise, anunció que había empezado a detectar escaneos que buscaban sistemas de Windows con la vulnerabilidad BlueKeep. Se cree que estos escaneos provienen de un solo ciberatacante.
De momento, solo son escaneos y no intentos de explotar la vulnerabilidad. Sin embargo, el hecho de que un atacante esté dedicando tiempo y recursos a compilar listas de dispositivos vulnerables indica que es probable que esté preparando un ataque. Y con un total estimado de más de un millón de dispositivos vulnerables, este ataque podría tener consecuencias devastadores.
Ya que al menos seis organizaciones han desarrollado exploits de BlueKeep, y existen dos informes muy detallados sobre la vulnerabilidad, es una cuestión de tiempo hasta que los ciberatacantes desarrollen sus propios exploits.
El peligro de las vulnerabilidades
La lista de ciberataques facilitadas por vulnerabilidades es muy larga. El ataque más notorio de los últimos años, WannaCry, fue posible gracias a una vulnerabilidad de Windows llamada EternalBlue. Las vulnerabilidades EternalBlue y BlueKeep tienen en común la posibilidad de utilizarlas para difundir gusanos informáticos. Este hecho preocupa los profesionales de ciberseguridad, ya que significa que, en teoría, BlueKeep podría utilizarse para un ciberataque de las mismas dimensiones que WannaCry.
Hace poco, EternalBlue causó otro ciberataque muy notable. La ciudad de Baltimore se vio afectada por un ataque de ransomware que inhabilitó muchas partes del sistema informático del ayuntamiento. Más de tres semanas después, la ciudad sigue intentando recuperar sus sistemas. Y según The New York Times, la causa de este ataque tan grave es: EternalBlue.
¿Lo peor de estos dos casos? Casi dos meses antes de los ataques de WannaCry, Microsoft había publicado un parche para remediar EternalBlue, y los equipos que lo tenían instalado no se vieron afectados. Y que el ayuntamiento de Baltimore se viera afectado de la misma forma dos años después de la publicación del parche es una clara prueba de la importancia de las actualizaciones de seguridad; y por otra, de la falta de tiempo y recursos destinados a la monitorización de vulnerabilidad y actualización de parches.
Cómo protegerse de BlueKeep
Aunque de momento solo se trata de actividad de escaneo, es muy importante cerrar esta vulnerabilidad ante la posibilidad de que se utilice en un ataque real. Cuando la vulnerabilidad se descubrió, Microsoft lazó un parche para los sistemas afectados, incluidos Windows XP, Windows 7 y Windows Server 2008; es vital instalar este parche lo antes posible.
Para protegernos contra cualquier ciberamenaza, es importante contar con una solución de ciberseguridad avanzada. Panda Adaptive Defense proporciona una visibilidad completa de toda la actividad en la red, para que sepas exactamente lo que ocurre en todo momento.
Además, cuenta con el módulo adicional, Panda Patch Management, el cual no requiere de despliegues adicionales en el cliente, y además no solo proporciona parches y actualizaciones para sistemas operativos, sino también para cientos de aplicaciones de terceros. Panda Patch Management audita, monitoriza y prioriza las actualizaciones de los sistemas operativos y aplicaciones desde un panel único. Además, es capaz de contener y mitigar ataques que explotan vulnerabilidades, aplicando una política constante de actualizaciones críticas para detectar cualquier posible amenaza incluso antes de que sea efectiva.