28 may. 2019

Un millón de equipos aún vulnerables a CVE-2019-0708 en RDP (detección y explotación de #BlueKeep)

Hay casi un millón de sistemas Windows que aún no se han parcheado y se encuentran vulnerables a la vulnerabilidad crítica y "wormeable" en RDP, dos semanas después de que Microsoft lanzara el parche de seguridad.

Apodado como BlueKeep e indentificado como CVE-2019-0708, la vulnerabilidad afecta a las ediciones Windows 2003, XP, Windows 7, Windows Server 2008 y 2008 R2 y podría propagarse automáticamente en sistemas no parcheados.

La vulnerabilidad podría permitir a un atacante remoto no autenticado ejecutar código arbitrario y tomar el control de una computadora específica simplemente enviando solicitudes especialmente diseñadas al servicio de escritorio remoto (RDS) del dispositivo a través del RDP, sin necesidad de interacción alguna por parte del usuario.

La vulnerabilidad de BlueKeep es Wormable y podría permitir que el malware se propague a sistemas vulnerables, como fue en el caso de WannaCry.

Sin embargo, la última exploración de Internet realizada por Robert Graham, jefe de la firma de investigación de seguridad ofensiva Errata Security, reveló que hay aproximadamente 950.000 máquinas con acceso público y vulnerables al error BlueKeep.

Graham usó "rdpscan", una herramienta de escaneo rápido que construyó sobre su masscan port scanner que puede escanear todo el Internet en busca de sistemas aún vulnerables a la vulnerabilidad de BlueKeep, y encontró un total de 7 millones de sistemas que estaban escuchando en el puerto 3389, de los cuales alrededor de 1 millón de sistemas siguen siendo vulnerables.

No solo investigadores, los atacantes también han comenzado a escanear Internet en busca de sistemas vulnerables de Windows para atacarlos con malware, dijo GreyNoise Intelligence. "GreyNoise está observando pruebas de barrido para sistemas vulnerables al RDP BlueKeep (CVE-2019-0708). Esta actividad se ha observado exclusivamente en los nodos de salida de Tor y es probable que sea ejecutada por un solo actor".

Sin embargo, afortunadamente, hasta el momento, ningún investigador de seguridad ha publicado ninguna prueba de concepto para BlueKeep, aunque algunos de ellos han confirmado que han desarrollado con éxito un exploit funcional.

Lo que sí ha aparecido es un módulo de Metasploit para detectar máquinas en una red que son vulnerables a esta vulnerabilidad. El módulo llamado BlueKeep Microsoft Remote Desktop RCE Check ha sido implementado por  @JaGoTu y @zerosum0x0.
El módulo puede encontrarse, primero, en el repositorio de zerosum0x0 y, además, en el repositorio oficial de Metasploit. El módulo está clasificado como auxiliary, dentro del apartado de los scanner (video). La ruta es auxliary/scanner/rdp.

Actualización 30/05: hace unas horas Ekultek ha publicado un script en Python que aparentemente se podría utilizar con un payload para obtener shell. A los botes!

Actualización 01/05: han aparecido scripts que directamente crashean el sistema y provocan un BSOD en la máquina vulnerable.

Fuente: THN

4 comentarios:

  1. la recomendación para mitigar ataques de este tipo..?

    ResponderEliminar
  2. Instalá el parche que publicó Microsoft...

    ResponderEliminar
  3. Microsoft publico una actualizacion de seguridad para los sistemas vulneables.

    Por otro lado, tambien tienes la actualizacion acumulativa de Mayo que tambien trae el parche para esta vulnerabilidad.

    Un saludo!

    ResponderEliminar
  4. Alguien sabe como usar el RDPSCAN? xq el módulo de metasploit funciona hasta ahi nomás (no chequea RSA) y otros datos que no puede revisar...

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!