Cuidado: BlueKeep podría traer un nuevo WannaCry

Hace medio mes que Microsoft lanzó el parche de seguridad para subsanar la vulnerabilidad BlueKeep. Sin embargo, se estima que puede haber cerca de un millón de sistemas Windows que aún no han sido actualizados.

Parece que no aprendemos. El pasado mes de noviembre, informábamos de que WannaCry sigue infectando equipos que todavía no han aplicado el parche de seguridad para la brecha de seguridad dicho ransomware. Y dos semanas después del lanzamiento del parche para la vulnerabilidad CVE-2019-0708 ‘BlueKeep’, hay muchos usuarios que siguen sin subsanar este problema, según informa Computing.

Microsoft explica que se trata de una vulnerabilidad de ejecución remota de código en Servicios de Escritorio Remoto, anteriormente conocido como Servicios de Terminal Server, que se produce cuando un atacante no autenticado se conecta al sistema de destino mediante Remote Desktop Protocol (RDP) y envía solicitudes especialmente diseñadas.

La compañía de Redmond especifica que esta vulnerabilidad no requiere la interacción del usuario porque es ‘wormable’. Es decir, que puede hacer que cualquier malware que explote la vulnerabilidad se pueda difundir de un sistema vulnerable a otro automáticamente, de una manera similar a la propagación de WannaCry y NotPetya.

Además, el atacante que aprovechara la brecha podría ejecutar código arbitrario en el sistema de destino. De esta forma, el ciberdelincuente podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Para ello, el hacker tendría que enviar una solicitud especialmente diseñada a los sistemas de destino Remote Desktop Service a través de RDP.

La mejor muestra de la relevancia que concede Microsoft a esta vulnerabilidad es que ha lanzado parche de seguridad incluso para Windows XP, a pesar de que dejó de dar soporte para dicho sistema operativo hace más de cinco años. También lo ha lanzado para otros sistemas sin soporte, como Windows Vista y Windows Server 2003.

Robert Graham, jefe de la firma de investigación de seguridad Errata Security, ha realizado recientemente escaneos de internet en los que ha descubierto que hay cerca de 950.000 máquinas de acceso público en internet que aún son vulnerables a los ataques de BlueKeep, tal y como explica en el blog de la compañía. “Es probable que los hackers descubran un robo en los próximos dos meses y causen estragos en estas máquinas”, afirma.

Además de actualizar los equipos, Graham aconseja a las grandes empresas que solucionen los problemas relacionados con PsExec, una herramienta de línea de comandos que los administradores de TI pueden utilizar para ejecutar procesos en sistemas remotos.

“Es posible que sólo tengan una máquina WinXP antigua que sea vulnerable, que no les importe si se infecta con ransomware. Pero esa máquina puede tener un administrador de dominio conectado. Cuando el gusano se rompe, toma esas credenciales y las usa para iniciar sesión en el controlador de dominio. Luego, desde el controlador de dominio, el gusano envía una copia de sí mismo a todos los escritorios y servidores de la organización, utilizando esas credenciales en lugar de la vulnerabilidad. Esto es lo que sucedió con NotPetya: la vulnerabilidad real no era el problema, era PsExec”, comenta.

David Ramos

Soy periodista freelance especializado en información económica, gestión empresarial y tecnología. Yo no elegí esta especialidad. Fue ella la que me escogió a mí.

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

23 horas ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

2 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

2 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

2 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

2 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

2 días ago