Cuidado: BlueKeep podría traer un nuevo WannaCry

Hace medio mes que Microsoft lanzó el parche de seguridad para subsanar la vulnerabilidad BlueKeep. Sin embargo, se estima que puede haber cerca de un millón de sistemas Windows que aún no han sido actualizados.

Parece que no aprendemos. El pasado mes de noviembre, informábamos de que WannaCry sigue infectando equipos que todavía no han aplicado el parche de seguridad para la brecha de seguridad dicho ransomware. Y dos semanas después del lanzamiento del parche para la vulnerabilidad CVE-2019-0708 ‘BlueKeep’, hay muchos usuarios que siguen sin subsanar este problema, según informa Computing.

Microsoft explica que se trata de una vulnerabilidad de ejecución remota de código en Servicios de Escritorio Remoto, anteriormente conocido como Servicios de Terminal Server, que se produce cuando un atacante no autenticado se conecta al sistema de destino mediante Remote Desktop Protocol (RDP) y envía solicitudes especialmente diseñadas.

La compañía de Redmond especifica que esta vulnerabilidad no requiere la interacción del usuario porque es ‘wormable’. Es decir, que puede hacer que cualquier malware que explote la vulnerabilidad se pueda difundir de un sistema vulnerable a otro automáticamente, de una manera similar a la propagación de WannaCry y NotPetya.

Además, el atacante que aprovechara la brecha podría ejecutar código arbitrario en el sistema de destino. De esta forma, el ciberdelincuente podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Para ello, el hacker tendría que enviar una solicitud especialmente diseñada a los sistemas de destino Remote Desktop Service a través de RDP.

La mejor muestra de la relevancia que concede Microsoft a esta vulnerabilidad es que ha lanzado parche de seguridad incluso para Windows XP, a pesar de que dejó de dar soporte para dicho sistema operativo hace más de cinco años. También lo ha lanzado para otros sistemas sin soporte, como Windows Vista y Windows Server 2003.

Robert Graham, jefe de la firma de investigación de seguridad Errata Security, ha realizado recientemente escaneos de internet en los que ha descubierto que hay cerca de 950.000 máquinas de acceso público en internet que aún son vulnerables a los ataques de BlueKeep, tal y como explica en el blog de la compañía. “Es probable que los hackers descubran un robo en los próximos dos meses y causen estragos en estas máquinas”, afirma.

Además de actualizar los equipos, Graham aconseja a las grandes empresas que solucionen los problemas relacionados con PsExec, una herramienta de línea de comandos que los administradores de TI pueden utilizar para ejecutar procesos en sistemas remotos.

“Es posible que sólo tengan una máquina WinXP antigua que sea vulnerable, que no les importe si se infecta con ransomware. Pero esa máquina puede tener un administrador de dominio conectado. Cuando el gusano se rompe, toma esas credenciales y las usa para iniciar sesión en el controlador de dominio. Luego, desde el controlador de dominio, el gusano envía una copia de sí mismo a todos los escritorios y servidores de la organización, utilizando esas credenciales en lugar de la vulnerabilidad. Esto es lo que sucedió con NotPetya: la vulnerabilidad real no era el problema, era PsExec”, comenta.