A mediados de mayo, Microsoft anunció el descubrimiento de una vulnerabilidad, llamada BlueKeep, en los sistemas Windows XP, Windows 7, y otros sistemas Windows más antiguos. En su momento, Microsoft lanzó un parche para proteger a los usuarios contra esta vulnerabilidad de ejecución de código remota en los servicios de Escritorio Remoto. Se estimó que esta vulnerabilidad llegó a afectar a más de un millón de usuarios.
A finales de julio, Rapid7 informó de un repunte significativo en la actividad maliciosa de RDP desde el descubrimiento de BlueKeep. Es más, apunta que existe al menos un exploit conocido y comercial que funciona para esta vulnerabilidad.
Malos momentos para las conexiones RDP
La semana pasada, Microsoft anunció que había descubierto cuatro nuevas vulnerabilidades en los servicios de Escritorio Remoto: CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 y CVE-2019-1226. Como BlueKeep, estas vulnerabilidades son ‘wormable’, es decir, un malware que utilizara estas vulnerabilidades podría propagarse entre equipos vulnerables sin la intervención del usuario.
Las versiones afectadas de Windows son Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 y todas las versiones compatibles de Windows 10, incluidas las versiones servidor. Microsoft añade que no tiene indicios de que haya terceros que conozcan estas vulnerabilidades.
Microsoft explica que los sistemas que tienen la Autenticación a nivel de red (NLA) activada están parcialmente protegidos, ya que la NLA significa que se requiere autenticación antes de activar la vulnerabilidad. Sin embargo, estos sistemas siguen vulnerables a la ejecución remota de código si el atacante tiene credenciales válidos que pueden utilizarse para autentificarse.
Se estima que estas vulnerabilidades podrían afectar a hasta 800 millones de usuarios.
Cómo protegerse contra las vulnerabilidades de RDP
Como es el caso con todas las vulnerabilidades, lo fundamental es aplicar los parches relevantes lo antes posible. Microsoft ya lazó parches para las cuatro vulnerabilidades (CVE-2019-1181; CVE-2019-1182; CVE-2019-1222; CVE-2019-1226).
Los parches son una medida de seguridad imprescindible que pueden evitar gran número ciberamenazas antes de que puedan manifestarse. De hecho, según un estudio, el 57% de las empresas que sufrieron una brecha dijeron que ésta fue posible debido a una vulnerabilidad para la que existía un parche.
Para agilizar el proceso de buscar y aplicar parches, Panda Adaptive Defense cuenta con el módulo Panda Patch Management. Patch Management audita, monitoriza y prioriza las actualizaciones de los sistemas operativos y aplicaciones. En detecciones de exploits y programas maliciosos, se notifica de los parches pendientes. La instalación se lanza inmediatamente o se puede programar desde la consola, aislando el equipo si es necesario. De esta manera, podrás gestionar los parches necesarios para tu empresa sin tener que invertir más tiempo o recursos en ello. Y completarás tu sistema de protección para blindar tus activos.
Otra medida importante es proteger la conexión RDP quitándola de la conexión directa a Internet con un VPN o incluso replanteando si realmente hace falta tenerla activada.