Hace dos días se descubrió una nueva vulnerabilidad en Windows que afecta a los usuarios de los sistemas Windows XP, Windows 7, y otros sistemas Windows más antiguos. Los usuarios de Windows 8 y 10 no están afectados. Esta vulnerabilidad de ejecución de código remota existe en los servicios de Escritorio Remoto, y puede ser explotada de manera remota sin autenticación para ejecutar código arbitrario.
Explica Microsoft: “Existe una vulnerabilidad de ejecución remota de código en los Servicios de Escritorio Remoto – antes conocido como Servicios de Terminal – cuando un atacante no autenticado se conecta al sistema objetivo utilizando RDP y manda peticiones especialmente diseñadas. Esta vulnerabilidad es pre-autenticación y no requiere ninguna interacción del usuario. Un atacante que consiga explotar esta vulnerabilidad podría ejecutar código arbitrario en el sistema objetivo. Entonces, un atacante podría instalar programas; ver, cambiar o borrar datos; o crear nuevas cuentas con derechos de usuario completos.”
Según Microsoft, esta vulnerabilidad puede ser explotada como gusano, lo cual significa que, en teoría, un atacante podría utilizarla para mandar un malware que se propaga automáticamente entre los sistemas con la misma vulnerabilidad.
De hecho, para ilustrar lo serio que es este problema, cabe recordar un ataque muy notorio que se aprovechó de una vulnerabilidad en los sistemas de Windows: WannaCry. Los ataques globales de WannaCry utilizaron una vulnerabilidad llamada EternalBlue para llegar a más de 200.000 equipos en 150 países. Microsoft lanzó un parche para esta vulnerabilidad dos meses antes de los ataques de WannaCry, un hecho que subraya la importancia de instalar los parches en cuanto están disponibles. A día de hoy, WannaCry sigue activo; ha habido casi 5 millones de detecciones de este ransomware en los dos años desde los ataques globales.
Recomendaciones: Parchea tu sistema y no dejes ninguna puerta abierta
Para proteger a sus usuarios, Microsoft ya ha lanzado un parche para los sistemas afectados, incluidos Windows XP, Windows 7 y Windows Server 2008. Aunque Microsoft “todavía no ha observado ninguna explotación de esta vulnerabilidad, es altamente probable que actores maliciosos desarrollen un exploit para esta vulnerabilidad y que lo incorporen en su malware.” Por lo tanto, es imprescindible que todos los usuarios de los sistemas afectados instalen el parche correspondiente lo antes posible.
Mientras tanto, soluciones de protección avanzada como Panda Adaptive Defense y Panda Adaptive Defense 360, proporcionan capas extra de seguridad que pueden además convertir tus endpoints en bunkers activando el modo lock para impedir que cualquier programa desconocido pueda ejecutarse, hasta que haya sido validado por Panda Security.
Adicionalmente, Microsoft recomienda:
- Habilitar la autenticación a nivel de red (NLA) en sistemas compatibles (Windows 7, Windows Server 2008 y Windows Server 2008 R2)
- Deshabilitar el servicio de escritorio remoto en aquellos equipos que no sea imprescindible su uso.
Asegúrate de tener siempre los parches y actualizaciones al día
La lista de ciberataques que han sido posibles gracias a una falta de parches relevantes es extensa: desde el ransomware y el cryptojacking, hasta brechas de datos masivas. Uno de los problemas a la hora de buscar y aplicar los parches necesarios es una falta de recursos y tiempo en las empresas. Es más, muchas veces es difícil priorizar qué parches se tienen que aplicar antes.
Para ayudar a priorizar, gestionar y desplegar los parches y actualizaciones, los clientes de Panda cuentan con Panda Patch Management. Este módulo, que no requiere de despliegues adicionales en el cliente,no solo proporciona parches y actualizaciones para sistemas operativos, sino también para cientos de aplicaciones de terceros.
- Descubre, planifica, instala y monitoriza: Proporciona visibilidad de la salud de los endpoints en tiempo real en cuanto a vulnerabilidades, parches o actualizaciones pendientes y software no soportado (EoL).
- Audita, monitoriza y prioriza las actualizaciones de los sistemas operativos y aplicaciones. Permite una visibilidad en tiempo real del estado de los parches y actualizaciones pendientes del sistema y en aplicaciones de terceros.
- Previene incidentes, reduciendo sistemáticamente la superficie de ataque por vulnerabilidades. La gestión de parches y actualizaciones permite adelantarse a la explotación de vulnerabilidades.
- Contiene y mitiga ataques, parcheando inmediatamente uno o varios endpoints: la consola correlaciona detecciones con vulnerabilidades, minimizando así el tiempo de respuesta, contención y remediación.
Descubre más sobre Patch Management aquí.