Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vulnerabilidades críticas en Escritorio Remoto de Windows (RDP)


El equipo de seguridad de Microsoft alerta de cuatro vulnerabilidades, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, y CVE-2019-1226, que pueden ser explotadas por atacantes remotos no autenticados para tomar el control de un afectado sistema sin requerir ninguna interacción del usuario. 2 vulnerabilidades críticas que pueden ser explotadas remotamente y presentan características similares a BlueKeep; como es el hecho de que podrían permitir que un malware se propague automáticamente hacia otros equipos vulnerables sin necesidad de interacción por parte de la víctima (características de gusano) Microsoft recomienda instalar lo antes posible las últimas actualizaciones sobre Remote Desktop Protocol (RDP)







El Protocolo de escritorio remoto (RDP), también conocido como "mstsc" después del cliente RDP incorporado de Microsoft, es comúnmente utilizado por usuarios técnicos y personal de TI para conectarse / trabajar en una computadora remota. RDP es un protocolo patentado desarrollado por Microsoft y generalmente se usa cuando un usuario desea conectarse a una máquina remota de Windows.  RDP ofrece muchas características más complejas, como: transmisión de video comprimido, uso compartido de portapapeles y varias capas de cifrado.

Vulnerabilidad de ejecución remota de código (RCE) en los Servicios de escritorio remoto, cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía solicitudes especialmente diseñadas. Esta vulnerabilidad es la autenticación previa y no requiere la interacción del usuario. Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario en el sistema de destino. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Para aprovechar esta vulnerabilidad, un atacante necesitaría enviar el Servicio de escritorio remoto a través de RDP. Remote Desktop Services maneja las solicitudes de conexión.

Remote Desktop Service - Recuerda a BlueKeep


De estos cuatro CVEs, los 2 primeros son los más graves. De hecho, en el blog del propio Simon Pope -Director de Respuestas a Incidentes en el Centro de Repuesta de Seguridad de Microsoft (MSRC)- se apuntó que estos fallos eran susceptibles de incluir en su explotación capacidades de replicación y pivotaje propias de un gusano, recordando al fallo BlueKeep que Microsoft ya solucionó en mayo.

Al igual que la falla BlueKeep, estas nuevas vulnerabilidades también son susceptibles de ser explotadas por un posible malware para propagarse automáticamente de una computadora vulnerable a otra (wormeable). "Un atacante puede obtener ejecución del código a nivel de SYSTEM enviando un paquete RDP de autenticación previa especialmente diseñado a un servidor RDS afectado",





El protocolo RDP es utilizado habitualmente para conectarse de forma remota a los escritorios de oficinas, por lo que se ha convertido en un vector de ataque atractivo para los ciberdelincuentes y que puede causar la parálisis de una PYME con una alarmante facilidad.

En Mayo de 2019, Robert Graham usó la herramienta "rdpscan", una herramienta de escaneo rápido que construyó para realizar un escaneo de puertos masivo, ya que puede escanear toda la Internet en busca de sistemas aún vulnerables a la vulnerabilidad BlueKeep, y encontró un total de 7 millones de sistemas que escuchaban en el puerto 3389, de los cuales Alrededor de 1 millón de sistemas seguían siendo vulnerables.





Versiones afectadas

Las nuevas vulnerabilidades no afectan a Windows XP, Windows Server 2003 y Windows Server 2008

  • Windows 7 SP1,
  • Windows Server 2008 R2 SP1
  • Windows Server 2012,
  • Windows 8.1
  • Windows Server 2012 R2
  • Todas las versiones compatibles de Windows 10, incluidas las versiones de servidor
Soluciones Alternativas


  • Deshabilitar los Servicios de escritorio remoto si no son necesarios.

La siguiente solución puede ser útil en su situación. En todos los casos, Microsoft recomienda encarecidamente que instale las actualizaciones para esta vulnerabilidad lo antes posible si planea dejar estas soluciones alternativas en su lugar: 

  • 1. Habilite la autenticación de nivel de red (NLA)

Puede habilitar la Autenticación de nivel de red para impedir que los atacantes no autenticados exploten esta vulnerabilidad. Con NLA activado, un atacante primero necesitaría autenticarse en los Servicios de Escritorio Remoto.

  • 2. Bloquear el puerto TCP 3389 en el firewall perimetral de la empresa

El puerto TCP 3389 se usa para iniciar una conexión con el componente afectado. Bloquear este puerto en el firewall de la red lo ayudará a protegerse de esta vulnerabilidad. Esto puede ayudar a proteger las redes de ataques que se originan fuera del perímetro de la empresa. El bloqueo de los puertos afectados en el perímetro de la empresa es la mejor defensa para ayudar a prevenir ataques basados en Internet. Sin embargo, los sistemas aún podrían ser vulnerables a su perímetro.

Si no se parchea, estas vulnerabilidades de seguridad podrían permitir a los atacantes propagar malware malicioso de forma similar a como lo hizo WannaCry y NotPetya en 2017.

No es precisamente la primera vulnerabilidad grave y crítica éste año 2019 de RDP, por ejemplo Microsoft ignoró la vulnerabilidad de RDP hasta que afectó a Hyper-V



Además de estos cuatro fallos críticos de seguridad, Microsoft también ha corregido otras 89 vulnerabilidades, 25 de las cuales se consideran críticas y 64 importantes en gravedad.

Ataques Ransomware vía RDP


Shodan devuelve casi 5 millones de resultados (51.154 dispositivos encontrados en España), lo que no quiere decir que todas ellas tengan RDP activo, el grueso de la búsqueda solo serán dispositivos con el puerto 3389 abierto,

Hemos visto ataques que explotan vulnerabilidades en RDP y que son algo más sofisticados pero la gran mayoría de las intrusiones en los sistemas que utilizan este protocolo se han llevado a cabo utilizando fuerza bruta para romper contraseñas débiles, o mucho más fácil, buscar las contraseñas en BBDD leakeadas. 

Más de 1 millón de máquinas eran vulnerables a BlueKeep (CVE-2019-0708), lo que podría desencadenar un «brote de ransomware por todo el mundo en cuestión de horas» según Matt Boddy, experto en seguridad de Sophos.

Según  Matt, en la actualidad hay más de 3 millones de dispositivos vulnerables a ataques por RPD, se ha estado informando sobre cómo todos los honeypots fueron descubiertos en pocas horas para su explotación, tan solo porque estaban expuesto en Internet.




3 comentarios :

Xoco dijo...

Pero para que lo entendamos los no expertos en seguridad. Al final esa vulnerabilidad solo es peligrosa si consigue entrar en una sesión de usuario con privilegios de administrador ¿no? en caso de un usuario raso solo afectará a archivos no críticos del sistema operativo ¿verdad?

Y mi otra duda, con contraseñas extremadamente seguras que no hayan sido leakeada ¿hay algún peligro en dejar expuesto el puerto 3389 (u otro diferente para dificultar el ataque) en un Windows Server 2019?

Gracias.

el-brujo dijo...

Exponer una IP con puerto RDP a internet no es una buena idea, sufrirás intentos de ataques automatizados o no. Debes hacer que sólo se pueda acceder con una VPN (localmente) o bien habilitar un segundo factor de autenticación (la contraseña no es suficiente) o mejor todo junto. No es una buena idea exponer públicamente el puerto RDP a internet, ni usando otro puerto no estándard.

Anónimo dijo...

Es una muy buena pregunta, porque entiendo que ese ataque debería ser más dirigido y apuntado, que un ataque automático. Creo que ese tipo de infecciones de ramsomware van más por el lado de los correos electrónicos

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.