Microsoft ha instado a parchear los sistemas Windows después de informes de ataques generalizados basados en la vulnerabilidad BlueKeep.
BlueKeep es el nombre en clave de un agujero de seguridad denominado CVE-2019-0708, revelado por primera vez en mayo de 2019. La vulnerabilidad, de Windows 7 y Windows Server 2008, permite a los atacantes entrar en un ordenador a través del Protocolo de Escritorio Remoto (RDP) de Windows, sin preocuparse por mostrar la pantalla de inicio de sesión RDP.
Explotar la vulnerabilidad era técnicamente difícil, creando una carrera tensa para parchear los sistemas antes de que alguien lanzara un exploit.
El investigador de seguridad Kevin Beaumont, que monitorea regularmente una red de dispositivos honeypot, con la finalidad de detectar ataques de BlueKeep, fue el primero en dar la alarma el 2 de noviembre de 2019:
[TUIT: https://twitter.com/GossiTheDog/status/1190654984553205761]
Los incidentes comenzaron el 23 de octubre, dijo.
Esas máquinas eran los canarios en la mina de carbón, ya que solo exponían el puerto utilizado para el servicio RDP susceptible a la vulnerabilidad BlueKeep.
Sin embargo, el exploit no se estaba utilizando para propagar un gusano, según MalwareTech, también conocido como Marcus Hutchins.
En un análisis del código de ataque, Hutchins descubrió que utilizaba un exploit BlueKeep publicado en la pentesting suite Metasploit de Rapid7 el 6 de septiembre. En lugar de autopropagarse, el ataque basado en este exploit instaló un minero de criptomonedas.
Microsoft ya estaba al tanto del ataque. En una entrada de blog el 7 de noviembre, dijo que los ataques al honeypot RDP de Beaumont desencadenaron un mecanismo de detección de comportamiento en su servicio de seguridad empresarial Defender Advanced Threat Protection (ATP). La empresa había instalado un filtro para buscar el exploit Metasploit en septiembre, dijo.
El mecanismo de detección de comportamiento detectó 10 veces más fallas en los puntos finales habilitados para RDP diariamente a partir del 6 de septiembre, aumentando de 10 a 100.
La empresa advirtió que este podría no ser el último exploit de BlueKeep que veamos. Decía:
Las señales de seguridad y el análisis forense muestran que el módulo BlueKeep Metasploit causó fallas en algunos casos, pero no podemos descartar mejoras que probablemente produzcan ataques más efectivos. Además, si bien no se han producido otros ataques verificados que involucren ransomware u otros tipos de malware a partir de este script, el exploit BlueKeep probablemente se utilizará para entregar cargas útiles más impactantes y perjudiciales que los mineros de monedas.
La empresa repitió el mismo consejo que ha estado desde que reveló por primera vez el exploit BlueKeep: parchear los sistemas.
El investigador principal de Naked Security, Paul Ducklin, comentó sobre esto:
Si está preocupado por BlueKeep porque aún no ha parcheado, entonces probablemente le falten seis meses completos de parches junto con el de BlueKeep, que salió en mayo de 2019.
Así que tome esta alerta de BlueKeep como una llamada de atención de propósito general y deje de posponer esas actualizaciones. Parchee temprano, parchee a menudo, si no le estará dando a ciberdelincuentes no sofisticados un pase gratuito a su red.
Dejar un comentario