Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1086
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
agosto
(Total:
21
)
- Varias vulnerabilidades permitieron hackear el iPh...
- Apple publica parche para iOS 12.4.1 y repara jail...
- Malware en la app CamScanner, con más de 100M de d...
- Drone puede apoderarse señal de una Smart TV
- Incidente de seguridad proveedor Hostinger afecta ...
- Presentan el Fairphone 3 con diseño totalmente mod...
- Cuentas de Google ya accesibles mediante la autent...
- Descontinuado proyecto PowerShell Empire Framework
- Disponible nueva versión escáner puertos Nmap 7.80
- Adolescente publica en Twitter desde su frigorífic...
- Vulnerabilidades críticas en Escritorio Remoto de ...
- Huawei presentó HarmonyOS
- Consiguen hackear cámaras Canon réflex a través de...
- Cadena de burdeles española expone base de datos d...
- Microsoft descubre hackers rusos que utilizan disp...
- Descubren fallo de seguridad crítico en los Snapdr...
- Antivirus Windows Defender gana cuota de mercado: ...
- Descubren nuevas vulnerabilidades en WPA3
- Apple y Google suspenden las escuchas humanas en a...
- Cisco multada por vender conscientemente software ...
- Senador de Estados Unidos plantea acabar con el sc...
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
236
)
manual
(
221
)
software
(
206
)
hardware
(
196
)
linux
(
126
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pegasus es uno de los programas espía más avanzados y peligrosos del mundo. Puede instalarse en dispositivos Android e iOS sin que los usu...
-
Distributed Denial of Secrets ( DDoSecrets ), la organización sin fines de lucro dedicada a la denuncia de irregularidades, celebra su sex...
Vulnerabilidades críticas en Escritorio Remoto de Windows (RDP)
viernes, 16 de agosto de 2019
|
Publicado por
el-brujo
|
Editar entrada
El equipo de seguridad de Microsoft alerta de cuatro vulnerabilidades, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, y CVE-2019-1226, que pueden ser explotadas por atacantes remotos no autenticados para tomar
el control de un afectado sistema sin requerir ninguna interacción del
usuario. 2 vulnerabilidades críticas que pueden ser explotadas remotamente y presentan características similares a BlueKeep; como es el hecho de que podrían permitir que un malware se propague automáticamente hacia otros equipos vulnerables sin necesidad de interacción por parte de la víctima (características de gusano) Microsoft recomienda instalar lo antes posible las últimas actualizaciones sobre Remote Desktop Protocol (RDP)
El Protocolo de escritorio remoto (RDP), también conocido como "mstsc" después del cliente RDP incorporado de Microsoft, es comúnmente utilizado por usuarios técnicos y personal de TI para conectarse / trabajar en una computadora remota. RDP es un protocolo patentado desarrollado por Microsoft y generalmente se usa cuando un usuario desea conectarse a una máquina remota de Windows. RDP ofrece muchas características más complejas, como: transmisión de video comprimido, uso compartido de portapapeles y varias capas de cifrado.
Vulnerabilidad de ejecución remota de código (RCE) en los Servicios de escritorio remoto, cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía solicitudes especialmente diseñadas. Esta vulnerabilidad es la autenticación previa y no requiere la interacción del usuario. Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario en el sistema de destino. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Para aprovechar esta vulnerabilidad, un atacante necesitaría enviar el Servicio de escritorio remoto a través de RDP. Remote Desktop Services maneja las solicitudes de conexión.
De estos cuatro CVEs, los 2 primeros son los más graves. De hecho, en el blog del propio Simon Pope -Director de Respuestas a Incidentes en el Centro de Repuesta de Seguridad de Microsoft (MSRC)- se apuntó que estos fallos eran susceptibles de incluir en su explotación capacidades de replicación y pivotaje propias de un gusano, recordando al fallo BlueKeep que Microsoft ya solucionó en mayo.
Al igual que la falla BlueKeep, estas nuevas vulnerabilidades también son susceptibles de ser explotadas por un posible malware para propagarse automáticamente de una computadora vulnerable a otra (wormeable). "Un atacante puede obtener ejecución del código a nivel de SYSTEM enviando un paquete RDP de autenticación previa especialmente diseñado a un servidor RDS afectado",
El protocolo RDP es utilizado habitualmente para conectarse de forma remota a los escritorios de oficinas, por lo que se ha convertido en un vector de ataque atractivo para los ciberdelincuentes y que puede causar la parálisis de una PYME con una alarmante facilidad.
En Mayo de 2019, Robert Graham usó la herramienta "rdpscan", una herramienta de escaneo rápido que construyó para realizar un escaneo de puertos masivo, ya que puede escanear toda la Internet en busca de sistemas aún vulnerables a la vulnerabilidad BlueKeep, y encontró un total de 7 millones de sistemas que escuchaban en el puerto 3389, de los cuales Alrededor de 1 millón de sistemas seguían siendo vulnerables.
Versiones afectadas
Las nuevas vulnerabilidades no afectan a Windows XP, Windows Server 2003 y Windows Server 2008
El Protocolo de escritorio remoto (RDP), también conocido como "mstsc" después del cliente RDP incorporado de Microsoft, es comúnmente utilizado por usuarios técnicos y personal de TI para conectarse / trabajar en una computadora remota. RDP es un protocolo patentado desarrollado por Microsoft y generalmente se usa cuando un usuario desea conectarse a una máquina remota de Windows. RDP ofrece muchas características más complejas, como: transmisión de video comprimido, uso compartido de portapapeles y varias capas de cifrado.
Vulnerabilidad de ejecución remota de código (RCE) en los Servicios de escritorio remoto, cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía solicitudes especialmente diseñadas. Esta vulnerabilidad es la autenticación previa y no requiere la interacción del usuario. Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario en el sistema de destino. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Para aprovechar esta vulnerabilidad, un atacante necesitaría enviar el Servicio de escritorio remoto a través de RDP. Remote Desktop Services maneja las solicitudes de conexión.
Remote Desktop Service - Recuerda a BlueKeep
De estos cuatro CVEs, los 2 primeros son los más graves. De hecho, en el blog del propio Simon Pope -Director de Respuestas a Incidentes en el Centro de Repuesta de Seguridad de Microsoft (MSRC)- se apuntó que estos fallos eran susceptibles de incluir en su explotación capacidades de replicación y pivotaje propias de un gusano, recordando al fallo BlueKeep que Microsoft ya solucionó en mayo.
Al igual que la falla BlueKeep, estas nuevas vulnerabilidades también son susceptibles de ser explotadas por un posible malware para propagarse automáticamente de una computadora vulnerable a otra (wormeable). "Un atacante puede obtener ejecución del código a nivel de SYSTEM enviando un paquete RDP de autenticación previa especialmente diseñado a un servidor RDS afectado",
El protocolo RDP es utilizado habitualmente para conectarse de forma remota a los escritorios de oficinas, por lo que se ha convertido en un vector de ataque atractivo para los ciberdelincuentes y que puede causar la parálisis de una PYME con una alarmante facilidad.
En Mayo de 2019, Robert Graham usó la herramienta "rdpscan", una herramienta de escaneo rápido que construyó para realizar un escaneo de puertos masivo, ya que puede escanear toda la Internet en busca de sistemas aún vulnerables a la vulnerabilidad BlueKeep, y encontró un total de 7 millones de sistemas que escuchaban en el puerto 3389, de los cuales Alrededor de 1 millón de sistemas seguían siendo vulnerables.
Versiones afectadas
Las nuevas vulnerabilidades no afectan a Windows XP, Windows Server 2003 y Windows Server 2008
- Windows 7 SP1,
- Windows Server 2008 R2 SP1
- Windows Server 2012,
- Windows 8.1
- Windows Server 2012 R2
- Todas las versiones compatibles de Windows 10, incluidas las versiones de servidor
Soluciones Alternativas
- Deshabilitar los Servicios de escritorio remoto si no son necesarios.
La siguiente solución puede ser útil en su situación. En todos los casos, Microsoft recomienda encarecidamente que instale las actualizaciones para esta vulnerabilidad lo antes posible si planea dejar estas soluciones alternativas en su lugar:
- 1. Habilite la autenticación de nivel de red (NLA)
Puede habilitar la Autenticación de nivel de red para impedir que los atacantes no autenticados exploten esta vulnerabilidad. Con NLA activado, un atacante primero necesitaría autenticarse en los Servicios de Escritorio Remoto.
- 2. Bloquear el puerto TCP 3389 en el firewall perimetral de la empresa
El puerto TCP 3389 se usa para iniciar una conexión con el componente afectado. Bloquear este puerto en el firewall de la red lo ayudará a protegerse de esta vulnerabilidad. Esto puede ayudar a proteger las redes de ataques que se originan fuera del perímetro de la empresa. El bloqueo de los puertos afectados en el perímetro de la empresa es la mejor defensa para ayudar a prevenir ataques basados en Internet. Sin embargo, los sistemas aún podrían ser vulnerables a su perímetro.
Si no se parchea, estas vulnerabilidades de seguridad podrían
permitir a los atacantes propagar malware malicioso de forma similar a
como lo hizo WannaCry y NotPetya en 2017.
No es precisamente la primera vulnerabilidad grave y crítica éste año 2019 de RDP, por ejemplo Microsoft ignoró la vulnerabilidad de RDP hasta que afectó a Hyper-V
No es precisamente la primera vulnerabilidad grave y crítica éste año 2019 de RDP, por ejemplo Microsoft ignoró la vulnerabilidad de RDP hasta que afectó a Hyper-V
Además de estos cuatro fallos críticos de seguridad, Microsoft también
ha corregido otras 89 vulnerabilidades, 25 de las cuales se consideran
críticas y 64 importantes en gravedad.
Ataques Ransomware vía RDP
Shodan devuelve casi 5 millones de resultados
(51.154 dispositivos encontrados en España), lo que no quiere decir que
todas ellas tengan RDP activo, el grueso de la búsqueda solo serán
dispositivos con el puerto 3389 abierto,
Hemos visto ataques que explotan vulnerabilidades en RDP y que son algo más sofisticados pero la gran mayoría de las intrusiones en los sistemas que utilizan este protocolo se han llevado a cabo utilizando fuerza bruta para romper contraseñas débiles, o mucho más fácil, buscar las contraseñas en BBDD leakeadas.
Hemos visto ataques que explotan vulnerabilidades en RDP y que son algo más sofisticados pero la gran mayoría de las intrusiones en los sistemas que utilizan este protocolo se han llevado a cabo utilizando fuerza bruta para romper contraseñas débiles, o mucho más fácil, buscar las contraseñas en BBDD leakeadas.
Más de 1 millón de máquinas eran vulnerables a BlueKeep (CVE-2019-0708), lo que podría desencadenar un «brote de ransomware por todo el mundo en cuestión de horas» según Matt Boddy, experto en seguridad de Sophos.
Según Matt, en la actualidad hay más de 3 millones de dispositivos vulnerables a ataques por RPD, se ha estado informando sobre cómo todos los honeypots fueron descubiertos en pocas horas para su explotación, tan solo porque estaban expuesto en Internet.
Según Matt, en la actualidad hay más de 3 millones de dispositivos vulnerables a ataques por RPD, se ha estado informando sobre cómo todos los honeypots fueron descubiertos en pocas horas para su explotación, tan solo porque estaban expuesto en Internet.
- PDF Informe Sophos RDP Julio 2019 - El RDP Expuesto: La Amenaza que ya está en tu puerta
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
3 comentarios :
Pero para que lo entendamos los no expertos en seguridad. Al final esa vulnerabilidad solo es peligrosa si consigue entrar en una sesión de usuario con privilegios de administrador ¿no? en caso de un usuario raso solo afectará a archivos no críticos del sistema operativo ¿verdad?
Y mi otra duda, con contraseñas extremadamente seguras que no hayan sido leakeada ¿hay algún peligro en dejar expuesto el puerto 3389 (u otro diferente para dificultar el ataque) en un Windows Server 2019?
Gracias.
Exponer una IP con puerto RDP a internet no es una buena idea, sufrirás intentos de ataques automatizados o no. Debes hacer que sólo se pueda acceder con una VPN (localmente) o bien habilitar un segundo factor de autenticación (la contraseña no es suficiente) o mejor todo junto. No es una buena idea exponer públicamente el puerto RDP a internet, ni usando otro puerto no estándard.
Es una muy buena pregunta, porque entiendo que ese ataque debería ser más dirigido y apuntado, que un ataque automático. Creo que ese tipo de infecciones de ramsomware van más por el lado de los correos electrónicos
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.