TLP: White
NIVEL DE RIESGO – CVSS v3.0: 9.8 [Crítico]

Acción Requerida: Aplicar las actualizaciones de seguridad que corrigen una vulnerabilidad crítica que afecta el servicio de escritorio remoto de distintas versiones del Sistema Operativo Windows, liberadas por Microsoft el 14 de mayo del 2019.

 

Vector de ataque: Red Acceso Remoto
Impacto: El aprovechamiento exitoso de esta vulnerabilidad podría otorgar a un usuario malicioso el control total del sistema afectado a través de la ejecución remota de código arbitrario con permisos elevados.

DESCRIPCIÓN

El 14 de mayo de 2019 Microsoft liberó una actualización de seguridad que corrige una vulnerabilidad crítica presente en el servicio de escritorio remoto (RDP, por sus siglas en inglés Remote Desktop Protocol) existente en diversas versiones del sistema operativo Microsoft Windows. A esta vulnerabilidad se le ha asignado el identificador CVE-2019-0708, aunque también es conocida como “BlueKeep”. La vulnerabilidad CVE-2019-0708 puede aprovecharse mediante el envío de mensajes especialmente diseñados al protocolo RDP, permitiendo que un usuario malicioso pueda tomar el control total del equipo afectado.

La criticidad de esta vulnerabilidad reside en el hecho de que puede aprovecharse de manera remota, sin la necesidad de contar con credenciales legítimas del servicio. Estas características son las mismas que tenía la vulnerabilidad MS17-010 utilizada por el ransomware WannaCry en mayo del 2017, que afectó a millones de computadoras alrededor del mundo, representando pérdidas millonarias para las entidades afectadas. Debido a lo anterior, Microsoft decidió liberar las actualizaciones que corrigen la falla en el servicio RDP incluso para las versiones del sistema operativo que ya no se encuentran soportados por la empresa.

La vulnerabilidad BlueKeep se presenta durante la secuencia de inicialización del protocolo de escritorio remoto. Durante este proceso se establecen canales virtuales estáticos (SVC, por sus siglas en inglés Static Virtual Channels) para permitir la conexión entre el cliente y el servidor, mismos que se mantienen hasta que la sesión finaliza. La falla se presenta cuando un cliente busca establecer un canal virtual utilizado internamente por el sistema, denominado MS_T120. Esta referencia inadecuada corrompe la memoria del sistema, lo que puede derivar en su compromiso total como resultado de la explotación exitosa de esta falla de seguridad.

MNEMO-CERT ha identificado una gran cantidad de equipos que tienen el servicio RDP expuesto a Internet, lo que aumenta su nivel de riesgo ante el aprovechamiento de la vulnerabilidad BlueKeep. Bajo este escenario, un usuario malicioso obtendría acceso a las redes en las que se encuentran estos equipos, pudiendo afectar a otros sistemas vulnerables. A continuación se presentan algunas cifras sobre el número de sistemas con el servicio RDP disponible a través de Internet:

  • México 29,552
  • Colombia 11,670
  • España 34,770

PRUEBA DE CONCEPTO

A la fecha de publicación del presente documento no se ha observado actividad maliciosa en la que se aproveche la vulnerabilidad CVE-2019-0708, sin embargo, existen diversas publicaciones en Twitter en las que se evidencia el aprovechamiento exitoso de esta vulnerabilidad, obteniendo control total del sistema afectado, aunque no se ha publicado una PoC funcional de este tipo. Las PoCs disponibles hasta el momento permiten realizar la denegación de servicio de un sistema vulnerable mediante la generación de un error del tipo BSoD (por sus siglas en inglés Blue Screen of Death)

IDENTIFICACIÓN DE INFRAESTRUCTURA SUSCEPTIBLE A SER COMPROMETIDA

Como parte de las actividades orientadas a la detección de los sistemas afectados por la vulnerabilidad BlueKeep, se han liberado herramientas que permiten recrear el escenario necesario para su aprovechamiento. Un ejemplo de este tipo de recursos se encuentra disponible en la siguiente URL:

Debido al tipo de pruebas que se realizan para determinar si un sistema es vulnerable se debe determinar el mejor momento para su ejecución en sistemas críticos.

NIVEL DE RIESGO

CVSS v3.0: 9.8 [Crítico]

Sistemas/tecnologías afectadas:

  • Windows XP
    • Service Pack 3, 2 y 1
    • Professional x64 Edition SP2
    • Embedded SP3
  • Windows Server 2003
    • SP2 x86
    • x64 Edition SP2
    • R2 SP2
    • R2 x64 Edition SP2
  • Windows Vista
    • SP2
    • x64 Edition SP2
  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 R2

MEDIDAS DE CONTENCIÓN

  • Inhabilitar servicio RDP. Prescindir del servicio de escritorio remoto en los equipos en los que no resulte estrictamente necesario.
  • Bloquear el puerto asociado al servicio RDP (puerto predeterminado 3389). Evitar la exposición a Internet del servicio de escritorio remoto y/o restringir las direcciones IP que pueden hacer uso del mismo.
  • Habilitar NLA. Es posible mitigar esta vulnerabilidad mediante la implementación del mecanismo de autenticación NLA (por sus siglas en inglés Network Level Authentication), pues de esta manera un usuario malicioso necesitaría contar con credenciales válidas para autenticarse, previo a establecer una sesión remota.

MEDIDAS DE ERRADICACIÓN

A continuación se listan las actualizaciones de seguridad liberadas por Microsoft para corregir la vulnerabilidad CVE-2019-0708:

  • Actualización de seguridad de Windows XP SP2 para sistemas basados en x64 (KB4500331)
  • 2019-05 Actualización de seguridad para WES09 y POSReady 2009 para sistemas basados en x86 (KB4500331)
  • Actualización de seguridad para Windows XP SP3 (KB4500331)
  • Actualización de seguridad para Windows Server 2003 para sistemas basados en x64 (KB4500331)
  • Actualización de seguridad para Windows Server 2003 (KB4500331)
  • Actualización de seguridad de Windows XP SP3 XPe (KB4500331)
  • Actualización de seguridad de Windows Server 2008 Service Pack 2 (KB4499180)
  • Actualización de seguridad de Windows Vista (KB4499180)

Microsoft ha recomendado a los usuarios de los sistemas afectados actualizar sus equipos a través de su catálogo de actualizaciones, al no existir otra manera de conseguirlas pues la mayoría de los sistemas afectados ya no cuentan con soporte oficial.

REFERENCIAS