Site icon Sophos News

El exploit RDP BlueKeep nos enseña por qué realmente debemos parchear

Hace aproximadamente seis semanas, Microsoft dio el inusual paso de incluir un parche para los sistemas operativos que ya no soporta en su actualización mensual del martes de parches de mayo.

Es algo que, el gigante del software, solo ha sentido la necesidad de hacer en un puñado de ocasiones, por lo que, cuando sucede, puede tomarse como una señal de que algo muy serio está sucediendo. En este caso, el motivo de preocupación era CVE-2019-0708, una vulnerabilidad de RDP muy grave, que pronto se conocería mejor como BlueKeep.

RDP (el Protocolo de Escritorio Remoto) es lo que permite a las personas controlar máquinas de Windows con una interfaz gráfica de usuario completa, a través de Internet. Las millones de máquinas conectadas a Internet que ejecutan RDP incluyen desde servidores alojados en la nube hasta escritorios de Windows utilizados por trabajadores remotos, y cada uno es una puerta de entrada potencial a la red local de una organización.

La vulnerabilidad “tipo gusano” BlueKeep, anunciada por Microsoft junto a la publicación del parche pertinente que lo solucionaba, podría en teoría utilizarse para ejecutar el código de los atacantes en cada una de esas máquinas, sin un nombre de usuario y contraseña.

El único rayo de esperanza que venía con los parches de mayo era que CVE-2019-0708 era difícil de explotar. Esa dificultad creó una ventana de tiempo para que las organizaciones se enfrentaran a BlueKeep antes de que los delincuentes descubrieran cómo abusar de él. Incluso existía la posibilidad de que resultara demasiado difícil realizar ingeniería inversa.

Era una esperanza que no duró mucho.

Desde que CVE-2019-0708 se hizo público, una pequeña cantidad de organizaciones e investigadores de seguridad, han afirmado de manera creíble la capacidad de explotarlo con éxito.

Entre ellos se encuentra Sophos, que hoy reveló su propia prueba de concepto para CVE-2019-0708 (PdC).

La PdC, descrita Kevin Beaumont quien dio el nombre a BlueKeep, como “increíble”, fue creada por SophosLabs Offensive Security Team.

El código es obviamente demasiado peligroso para ser publicado, por lo que SophosLabs ha grabado un vídeo que muestra, sin los archivos, como se puede utilizar el exploit para obtener el control total de un sistema remoto sin autenticación.

El PoC ayudará a Sophos a comprender cómo CVE-2019-0708 podría ser explotado por cibercriminales.

Entonces, ¿por qué publicar la prueba de concepto?

Esperamos que este vídeo pueda convencer a las personas y organizaciones que aún no hayan parcheado BlueKeep que realmente se trata de una amenaza grave.

Puedes obtener más información en el siguiente enlace. Hazlo después de que hayas implementado el parche.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Exit mobile version