Antivirus.Codes Blog

1 millón de equipos aún vulnerables al 0 Day descubierto en RDP de Windows

1 millón de equipos aún vulnerables al 0 Day descubierto en RDP de Windows

Casi 1 mes después de haberse presentado una reciente vulnerabilidad que afecta al protocolo RDP (Remote Desktop) de Windows, un alarmante número de equipos conectados a internet siguen sin estar seguros al no haber aplicado parches.

Vulnerabilidades encontradas en productos de Microsoft hay muchas constantemente,  pero lo que hace especial a esta es que, como ocurrió en el caso de Wannacry, está tan presente en el paruqe informático y es tan fácil de aprovechar que podría provocar un desastre de proporciones épicas, debido al ransomware.

CVE-2019-0708

Con este identificador se conoce a la citada vulnerabilidad existente en el protocolo de Escritorio Remoto de Windows, en todas sus versiones hasta Windows 10. También se lo conoce como BlueKeep.

Un atacante podría enviar una solicitud manipulada de tal forma que consiga entrar en el protocolo RDP (3389 TCP). Esto se debe a que existe una vulnerabilidad de Remote Code Execution que permite el acceso  pre-autenticado por error. Por tanto, el usuario ni siquiera tendría que hacer nada para que el ataque tenga éxito.

En este tipo de ataque, que no requiere autenticación por parte de un atacante, podría tomarse el control de cientos de miles de dispositivos conectados a internet y con el protooclo habilitado en cuestión de pocos días.

Lo denominan "wormable" (puede expandirse con medios de tipo gusano) y por tanto podría difundirse lateralmente en una red privada o entre la WAN sin problema y en poco tiempo.

Entre los estudios llevados a cabo estos días atrás por varios expertos, se ha descubierto lo siguiente:

932,671 equipos tienen en ejecución servicios RDP vulnerables. 1,414,793 han sido parcheados. 1,235,448 están protegidos por otras tecnologías de mitigación como NLA o CredSSP 82,836 tienen ejecutándose algún servidor web en el puerto típico de RDP (3389) y no serían vulnerables.

Muchos otros equipos no contestaron por timeout o no eran evidentemente vulnerables, pero las estadísticas son preocupantes como podéis ver.

1 millón de equipos vulnerables

Tenemos en total unas 950000 máquinas de todo tipo -todas basadas en Windows- vulnerables a ataques sobre el protocolo RDP y la vulnerabilidad BlueeKeep. A no ser, claro está, que apliquemos los parches.

Lo que es claro para la gente de la industria es que los ciberdelincuentes están ahora mismo escudriñando sus cerebros y podrían presentar en pocas semanas un exploit lo suficientemente serio para causar un torrente de infecciones -posiblemente por ransomware- como el que se produjo con Wannacry o NotPetya.

"Back to the basics" es lo que sugerimos en estos casos:

Bastionado y least privilege sobre las máquinas conectadas a Internet Copias de seguridad robustas....y probadas! Instalar una solución antiviruscomo parte de una defensa en profundidad Por supuesto: parchear, en tiempo y forma.

Categorias

Noticias 

Comentarios:
0

Escribe un comentario aquí



Enviar

Tu comentario se envió con exito. En cuanto sea aprobado por el administrador será publicado.

Upss..., tu mensaje no se ha podido enviar.