Si bien la vulnerabilidad Bluekeep (CVE-2019-0708) no ha causado, hasta la fecha, un caos generalizado, en este artículo explicaremos las razones por las cuales todavía está en una etapa temprana en su ciclo de vida de explotación. El hecho es que muchos sistemas aún no están parcheados, y todavía se puede encontrar una versión completamente susceptible de ser explotada.
Debido a estos factores, ESET ha creado una herramienta gratuita para verificar si un sistema es vulnerable.
RDP fue inventado por Citrix en 1995 y vendido como parte de una versión mejorada de Windows NT 3.51 llamada WinFrame. En 1998, Microsoft agregó RDP a la edición Windows NT 4.0 Terminal Server. Desde entonces, el protocolo ha sido parte de todas las versiones de la línea de sistemas operativos Windows Server de Microsoft, además de estar incluido en todas las ediciones para usuarios no domésticos de los sistemas operativos Windows Client desde que se lanzó Windows XP en 2001. Hoy, usuarios comunes de RDP incluyen administradores de sistemas que realizan la administración remota de servidores desde sus cubículos sin tener que ir a la sala de servidores, así como trabajadores remotos que pueden conectarse a máquinas de escritorio virtualizadas dentro del dominio de su organización.
Una vez que los atacantes conocen qué tipo de servidor es el que controlan pueden comenzar a realizar acciones maliciosas. Algunas de las actividades maliciosas más comunes que hemos visto incluyen:
No hemos visto ningún servidor comprometido tanto para extorsionar a través de un ransomware como para minar criptomonedas, pero hemos visto casos en que un atacante comprometió un servidor para minar criptomonedas y que luego otros atacantes comprometieron ese mismo servidor para luego cambiar el minero para que los ingresos fueron a ellos. Parece que hay pocos escrúpulos entre los ladrones.
El conocimiento acerca de los ataques RDP ha llegado a un punto en el que incluso quienes realizan estafas de sextorsión están haciendo mención a este tipo de ataques en las notas de rescate que envían a sus víctimas en un intento de hacer que sus estafas suenen más legítimas.
Sin embargo, en mayo de 2019, las compuertas se abrieron con la llegada de CVE-2019-0708, también conocida como “BlueKeep”, una vulnerabilidad que radica en el RDP y que afecta a Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 y Windows Server 2008 R2. En equipos de escritorio, Windows 8 y versiones posteriores no se ven afectadas, al igual que en servidores las versiones Windows Server 2012 y posteriores.
La vulnerabilidad BlueKeep permite a los atacantes ejecutar código de manera arbitraria en las computadoras de sus víctimas. Si bien incluso los atacantes individuales pueden ser una amenaza generalizada porque pueden usar herramientas automatizadas para los ataques, esta vulnerabilidad presenta características de “gusano”, lo que significa que un ataque podría propagarse automáticamente a través de las redes sin ninguna intervención de los usuarios, al igual que hicieron en el pasado amenazas conocidas como los gusanos Win32/Diskcoder.C (más conocido como NotPetya) y Conficker.
La explotación de vulnerabilidades con características de gusano generalmente se consideran un problema grave. Microsoft ha catalogada a la vulnerabilidad como “Crítica”, que es el nivel de gravedad más alto de acuerdo a su guía published guidance for customers , y en la National Vulnerability Database del gobierno de EE. UU., la entrada para CVE-2019-0708 tiene un puntaje de 9.8 de 10. Microsoft publicó un comunicado a través del cual recomienda encarecidamente a los usuarios que instalen sus parches, incluidos aquellos para sistemas operativos que no son compatibles, como Windows XP y Windows Server 2003. Las preocupaciones sobre una vulnerabilidad explotable eran tan altas que, a principios de junio, la Agencia de Seguridad Nacional (NSA) en los Estados Unidos emitió un aviso poco frecuente recomendando la instalación de los parches que lanzó Microsoft para reparar la falla.
A principios de septiembre, Rapid7, el desarrollador de la herramienta de pentesting Metasploit, anunció el lanzamiento de un exploit para BlueKeep. Si bien no se informaron escaladas importantes en la actividad de BlueKeep durante los meses siguientes, esto ha cambiado recientemente. A principios de noviembre, informes masivos acerca de la explotación de BlueKeep se hicieron públicos, como lo señalaron ZDNet y WIRED, entre otros medios de comunicación. Según los informes, los ataques no tuvieron éxito, con aproximadamente el 91% de las computadoras vulnerables que crashearon con un error de detención (también conocido como pantalla azul de la muerte o en inglés "Blue Screen of Death") cuando el atacante intenta explotar la vulnerabilidad BlueKeep. Sin embargo, en el 9% de las computadoras vulnerables restantes, estos atacantes instalaron con éxito software para minar Monero. Entonces, si bien no se trató de los ataques más temibles, parece que un grupo criminal tiene una explotación automatizada, aunque sin una alta tasa de éxito.
Esto no significa que deba dejar de usar RDP de inmediato, sino que debe tomar medidas adicionales para asegurarlo lo antes y lo más rápido posible. Con este fin, hemos creado una tabla con los diez pasos principales que puede seguir para comenzar a proteger sus computadoras de los ataques basados en RDP.
* Por defecto, RDP opera en el puerto 3389. Si ha cambiado este puerto a un valor diferente, entonces ese es el puerto que deberá ser bloqueado.
Esta tabla se basa en el orden de importancia y la facilidad de implementación, pero puede variar según su organización. Algunos de estos pueden no ser aplicables a la suya, o puede ser más práctico hacerlo en un orden diferente, o puede haber pasos adicionales que su organización deba tomar.
Herramienta de detección de BlueKeep (CVE-2019-0708) de ESET
Fuente: WeLiveSecurity
Debido a estos factores, ESET ha creado una herramienta gratuita para verificar si un sistema es vulnerable.
¿Qué es RDP?
RDP, abreviatura de Remote Desktop Protocol, en español Protocolo de Escritorio Remoto, permite que una computadora se conecte a otra computadora a través de una red para usarla de forma remota. En un dominio, las computadoras que ejecutan un sistema operativo Windows Client, como Windows XP o Windows 10, vienen con un software cliente RDP preinstalado como parte del sistema operativo, que les permite conectarse a otras computadoras en la red, incluidos los servidores de la organización. Una conexión a un servidor en este caso significa que podría ser directamente al sistema operativo del servidor, o podría ser a un sistema operativo que esté corriendo dentro de una máquina virtual en ese servidor. Desde esa conexión, una persona puede abrir directorios, descargar y cargar archivos y ejecutar programas, como si estuviera usando el teclado y el monitor conectados a ese servidor.RDP fue inventado por Citrix en 1995 y vendido como parte de una versión mejorada de Windows NT 3.51 llamada WinFrame. En 1998, Microsoft agregó RDP a la edición Windows NT 4.0 Terminal Server. Desde entonces, el protocolo ha sido parte de todas las versiones de la línea de sistemas operativos Windows Server de Microsoft, además de estar incluido en todas las ediciones para usuarios no domésticos de los sistemas operativos Windows Client desde que se lanzó Windows XP en 2001. Hoy, usuarios comunes de RDP incluyen administradores de sistemas que realizan la administración remota de servidores desde sus cubículos sin tener que ir a la sala de servidores, así como trabajadores remotos que pueden conectarse a máquinas de escritorio virtualizadas dentro del dominio de su organización.
¿Qué hacen los atacantes con RDP?
Durante los últimos años, ESET ha visto un número cada vez mayor de incidentes en los que los atacantes se han conectado remotamente a un servidor de Windows desde Internet utilizando RDP e iniciado sesión como administrador de la computadora. Una vez que los atacantes inician sesión en el servidor como administrador, generalmente realizarán un reconocimiento para determinar para qué se utiliza el servidor, por quién y cuándo se está utilizando.Una vez que los atacantes conocen qué tipo de servidor es el que controlan pueden comenzar a realizar acciones maliciosas. Algunas de las actividades maliciosas más comunes que hemos visto incluyen:
- borrar archivos de registro que contienen evidencia de su presencia en el sistema
- deshabilitar las copias de seguridad programadas y las shadow copies
- deshabilitar el software de seguridad o configurar exclusiones en él (lo cual está permitido para los administradores)
- descargar e instalar varios programas en el servidor
- borrar o sobrescribir copias de seguridad antiguas, si están accesibles
- Instalar programas para criptominería con el objetivo de generar criptomonedas, tales como Monero
- Instalar ransomware para extorsionar con dinero a la organización (a menudo solicitan realizar un pago con criptomonedas, como bitcoin).
No hemos visto ningún servidor comprometido tanto para extorsionar a través de un ransomware como para minar criptomonedas, pero hemos visto casos en que un atacante comprometió un servidor para minar criptomonedas y que luego otros atacantes comprometieron ese mismo servidor para luego cambiar el minero para que los ingresos fueron a ellos. Parece que hay pocos escrúpulos entre los ladrones.
El conocimiento acerca de los ataques RDP ha llegado a un punto en el que incluso quienes realizan estafas de sextorsión están haciendo mención a este tipo de ataques en las notas de rescate que envían a sus víctimas en un intento de hacer que sus estafas suenen más legítimas.
Ataques masivos de RDP con la llegada de BlueKeep
Los ataques realizados con RDP han sido lentos, pero constantes, en aumento y sujetos a una serie de avisos gubernamentales del FBI, el NCSC del Reino Unido, el CCCS de Canadá y el ACSC de Australia, por nombrar algunos.Sin embargo, en mayo de 2019, las compuertas se abrieron con la llegada de CVE-2019-0708, también conocida como “BlueKeep”, una vulnerabilidad que radica en el RDP y que afecta a Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 y Windows Server 2008 R2. En equipos de escritorio, Windows 8 y versiones posteriores no se ven afectadas, al igual que en servidores las versiones Windows Server 2012 y posteriores.
La vulnerabilidad BlueKeep permite a los atacantes ejecutar código de manera arbitraria en las computadoras de sus víctimas. Si bien incluso los atacantes individuales pueden ser una amenaza generalizada porque pueden usar herramientas automatizadas para los ataques, esta vulnerabilidad presenta características de “gusano”, lo que significa que un ataque podría propagarse automáticamente a través de las redes sin ninguna intervención de los usuarios, al igual que hicieron en el pasado amenazas conocidas como los gusanos Win32/Diskcoder.C (más conocido como NotPetya) y Conficker.
La explotación de vulnerabilidades con características de gusano generalmente se consideran un problema grave. Microsoft ha catalogada a la vulnerabilidad como “Crítica”, que es el nivel de gravedad más alto de acuerdo a su guía published guidance for customers , y en la National Vulnerability Database del gobierno de EE. UU., la entrada para CVE-2019-0708 tiene un puntaje de 9.8 de 10. Microsoft publicó un comunicado a través del cual recomienda encarecidamente a los usuarios que instalen sus parches, incluidos aquellos para sistemas operativos que no son compatibles, como Windows XP y Windows Server 2003. Las preocupaciones sobre una vulnerabilidad explotable eran tan altas que, a principios de junio, la Agencia de Seguridad Nacional (NSA) en los Estados Unidos emitió un aviso poco frecuente recomendando la instalación de los parches que lanzó Microsoft para reparar la falla.
A principios de septiembre, Rapid7, el desarrollador de la herramienta de pentesting Metasploit, anunció el lanzamiento de un exploit para BlueKeep. Si bien no se informaron escaladas importantes en la actividad de BlueKeep durante los meses siguientes, esto ha cambiado recientemente. A principios de noviembre, informes masivos acerca de la explotación de BlueKeep se hicieron públicos, como lo señalaron ZDNet y WIRED, entre otros medios de comunicación. Según los informes, los ataques no tuvieron éxito, con aproximadamente el 91% de las computadoras vulnerables que crashearon con un error de detención (también conocido como pantalla azul de la muerte o en inglés "Blue Screen of Death") cuando el atacante intenta explotar la vulnerabilidad BlueKeep. Sin embargo, en el 9% de las computadoras vulnerables restantes, estos atacantes instalaron con éxito software para minar Monero. Entonces, si bien no se trató de los ataques más temibles, parece que un grupo criminal tiene una explotación automatizada, aunque sin una alta tasa de éxito.
Defensa contra ataques vía RDP
Entonces, con todo eso en mente, ¿qué se puede hacer? Bueno, lo primero, obviamente, es evitar conectarse a los servidores propios de forma directa a través de Internet utilizando RDP. Esto puede ser problemático para algunas empresas, ya que puede haber algunas razones aparentemente legítimas para esto. Sin embargo, con el soporte para Windows Server 2008 y Windows 7 que finaliza en enero de 2020, tener computadoras que las ejecuten y sean directamente accesibles mediante RDP a través de Internet representa un riesgo para su negocio que ya debería planear mitigar.Esto no significa que deba dejar de usar RDP de inmediato, sino que debe tomar medidas adicionales para asegurarlo lo antes y lo más rápido posible. Con este fin, hemos creado una tabla con los diez pasos principales que puede seguir para comenzar a proteger sus computadoras de los ataques basados en RDP.
* Por defecto, RDP opera en el puerto 3389. Si ha cambiado este puerto a un valor diferente, entonces ese es el puerto que deberá ser bloqueado.
Esta tabla se basa en el orden de importancia y la facilidad de implementación, pero puede variar según su organización. Algunos de estos pueden no ser aplicables a la suya, o puede ser más práctico hacerlo en un orden diferente, o puede haber pasos adicionales que su organización deba tomar.
Herramienta de detección de BlueKeep (CVE-2019-0708) de ESET
Fuente: WeLiveSecurity
