TLP: White

Nivel de riesgo: CVSS v3.0: 9.8 [Critico]

Acción Requerida: El aprovechamiento exitoso de estas vulnerabilidades podría otorgar a un usuario malicioso el control total del sistema afectado a través de la ejecución remota de código arbitrario con permisos elevados.
Vector de ataque: Red, acceso remoto
Impacto: El aprovechamiento exitoso de estas vulnerabilidades podría otorgar a un usuario malicioso el control total del sistema afectado a través de la ejecución remota de código arbitrario con permisos elevados.

DESCRIPCIÓN

El 14 de agosto de 2019 Microsoft liberó un paquete de actualizaciones de seguridad que corrige un total de 93 vulnerabilidades en distintos productos de la compañía, entre las que destacan cuatro de ellas que están presentes en el servicio de escritorio remoto (RDP, por sus siglas en inglés Remote Desktop Protocol) existente en diversas versiones del sistema operativo Windows. Los identificadores asignados a estas vulnerabilidades son:

  1. CVE-2019-1181 CVSS v3.0 – 9.8 [Critica]
  2. CVE-2019-1182 CVSS v3.0 – 9.8 [Critica]
  3. CVE-2019-1222 CVSS v3.0 – 9.8 [Critica]
  4. CVE-2019-1226 CVSS v3.0 – 9.8 [Critica]

La criticidad de estas cuatro vulnerabilidades reside en el hecho de que pueden ser aprovechadas de forma remota y que permiten la ejecución de código arbitrario, sin la necesidad de la interacción del usuario. Esta característica es similar a las que tiene la vulnerabilidad conocida como BlueKeep (CVE-2019-0708, CVSS v3.0 9.8 [Critica]), publicada el pasado mes de junio. Es importante mencionar que un equipo inicial comprometido a través de esta vulnerabilidad podría servir como punto de propagación a otros dispositivos vulnerables, poniendo en riesgo la infraestructura de TI de una organización.

Para aprovechar las vulnerabilidades mencionadas, un atacante no autenticado necesita enviar una solicitud especialmente diseñada a alguna de las varias distribuciones de sistemas operativos de Microsoft Windows vulnerables a través del protocolo RDP; una vez que logre aprovechar el fallo podrá ejecutar código arbitrario en el equipo comprometido con permisos de administrador.

De acuerdo con información de Microsoft, descubrió las vulnerabilidades durante sus procesos de fortalecimiento en los servicios de escritorio remoto como parte de su enfoque continuo para fortalecer la seguridad en sus productos. En este momento no se tiene evidencia de que estas vulnerabilidades sean conocidas por terceros y en consecuencia aprovechadas.

MNEMO-CERT ha identificado una gran cantidad de equipos que tienen el servicio RDP expuesto a Internet. Bajo este escenario, un usuario malicioso podría obtener acceso a los dispositivos que cuenten con este protocolo habilitado y expuesto a Internet, así como buscar comprometer otros dispositivos en las redes internas en las que se encuentran estos, pudiendo afectar a otros sistemas vulnerables internos. A continuación se presentan algunas cifras sobre el número de sistemas con el servicio RDP disponible a través de Internet:

  • México 25,065
  • Colombia 11,056
  • España 30,113

NIVEL DE RIESGO

CVSS v3.0: 9.8 [Critico]

Sistemas/tecnologías afectadas:

Vulnerabilidades CVE-2019-1181 y CVE-2019-1182

  • Todas las versiones de Windows 10.
  • Windows Server 2019.
  • Windows 7 SP1.
  • Windows Server 2008 R2 SP1.
  • Windows Server 2012.
  • Windows 8.1.
  • Windows Server 2012 R2.

Vulnerabilidades CVE-2019-1222 y CVE-2019-1226

  • Todas las versiones de Windows 10.

Medidas de contención

  • Inhabilitar el servicio RDP. Prescindir del servicio de escritorio remoto en los equipos en los que no resulte estrictamente necesario.
  • Bloquear el puerto asociado al servicio RDP (puerto predeterminado 3389). Evitar la exposición a Internet del servicio de escritorio remoto y/o restringir las direcciones IP que pueden hacer uso del mismo.
  • Habilitar NLA. Es posible mitigar esta vulnerabilidad mediante la implementación del mecanismo de autenticación NLA (por sus siglas en inglés Network Level Authentication), pues de esta manera un usuario malicioso necesitaría contar con credenciales válidas para autenticarse, previo a establecer una sesión remota.
  • Deshabilitar los servicios en caso de no utilizarlos.

Medidas de erradicación

A continuación se listan las actualizaciones de seguridad liberadas por Microsoft para corregir las cuatro vulnerabilidades reportadas en esta alerta:

  • Actualización acumulativa para Windows 10 Versión 1507 para sistemas basados en x64 (KB4512497)
  • Actualización acumulativa para Windows 10 Versión 1507 para sistemas basados en x86 (KB4512497)
  • Actualización acumulativa para Windows 10 Versión 1607 para sistemas basados en x64 (KB4512517)
  • Actualización acumulativa para Windows Server 2016 para sistemas basados en x64 (KB4512517)
  • Actualización acumulativa para Windows 10 Versión 1607 para sistemas basados en x86 (KB4512517)
  • Actualización acumulativa para Windows 10 Versión 1703 para sistemas basados en x86 (KB4512507)
  • Actualización acumulativa para Windows 10 Versión 1703 para sistemas basados en x64 (KB4512507)
  • Actualización acumulativa para Windows 10 Versión 1709 para sistemas basados en x64 (KB4512516)
  • Actualización acumulativa para Windows 10 Versión 1709 para sistemas basados en ARM64 (KB4512516)
  • Actualización acumulativa para Windows 10 Versión 1709 para sistemas basados en x86 (KB4512516)
  • Actualización acumulativa para Windows Server 2016 (1803) para sistemas basados en x64 (KB4512501)
  • Actualización acumulativa para Windows 10 Versión 1803 para sistemas basados en x64 (KB4512501)
  • Actualización acumulativa para Windows 10 Versión 1803 para sistemas basados en x86 (KB4512501)
  • Actualización acumulativa para Windows 10 Versión 1803 para sistemas basados en ARM64 (KB4512501)
  • Actualización acumulativa para Windows 10 Versión 1809 para sistemas basados en ARM64 (KB4511553)
  • Actualización acumulativa para Windows 10 Versión 1809 para sistemas basados en x86 (KB4511553)
  • Actualización acumulativa para Windows Server 2019 para sistemas basados en x64 (KB4511553)
  • Actualización acumulativa para Windows 10 Versión 1809 para sistemas basados en x64 (KB4511553)
  • Actualización acumulativa para Windows Server, Versión 1903 para sistemas basados en x64 (KB4512508)
  • Actualización acumulativa para Windows 10 Versión 1903 para sistemas basados en x86 (KB4512508)
  • Actualización acumulativa para Windows 10 Versión 1903 para sistemas basados en ARM64 (KB4512508)
  • Actualización acumulativa para Windows 10 Versión 1903 para sistemas basados en x64 (KB4512508)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows 7 para sistemas basados en x64 (KB4512506)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows 7 para sistemas basados en x86 (KB4512506)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows Server 2008 R2 para sistemas basados en Itanium (KB4512506)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows Server 2008 R2 para sistemas basados en x64 (KB4512506)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows Embedded Standard 7 para sistemas basados en x86 (KB4512506)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows Embedded Standard 7 para sistemas basados en x64 (KB4512506)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows Server 2012 R2 para sistemas basados en x64 (KB4512488)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows 8.1 para sistemas basados en x86 (KB4512488)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows 8.1 para sistemas basados en x64 (KB4512488)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows Embedded 8 Standard para sistemas basados en x64 (KB4512518)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows Embedded 8 Standard para sistemas basados en x86 (KB4512518)
  • Paquete acumulativo de actualizaciones de calidad mensual de seguridad para Windows Server 2012 para sistemas basados en x64 (KB4512518)

Referencias