Casi 1 millón de computadoras aún son vulnerables a la falla de BlueKeep RDP «gusano»

Noticias 31 de marzo de 2022

Vulnerabilidad de BlueKeep RDP

Casi 1 millón de sistemas Windows aún no tienen parches y se han encontrado vulnerables a una vulnerabilidad de ejecución remota de código crítico, que puede ser utilizado por gusanos, recientemente revelada en el Protocolo de escritorio remoto (RDP) de Windows, dos semanas después de que Microsoft lanzara el parche de seguridad.

Si se explota, la vulnerabilidad podría permitir que un atacante cause estragos fácilmente en todo el mundo, potencialmente mucho peor que lo que hicieron WannaCry y NotPetya como los ataques de gusanos en 2017.

Apodada BlueKeep y rastreada como CVE-2019-0708, la vulnerabilidad afecta las ediciones de Windows 2003, XP, Windows 7, Windows Server 2008 y 2008 R2 y podría propagarse automáticamente en sistemas desprotegidos.

La vulnerabilidad podría permitir que un atacante remoto no autenticado ejecute código arbitrario y tome el control de una computadora objetivo simplemente enviando solicitudes especialmente diseñadas al Servicio de escritorio remoto (RDS) del dispositivo a través del RDP, sin requerir ninguna interacción por parte del usuario.

Al describir la vulnerabilidad de BlueKeep como Wormable que podría permitir que el malware se propague a sistemas vulnerables como WannaCry, Microsoft lanzó una solución de seguridad para abordar la vulnerabilidad con sus actualizaciones del martes de parches de mayo de 2019.

Sin embargo, el último análisis de Internet realizado por Robert Graham, jefe de la firma de investigación de seguridad ofensiva Errata Security, reveló que, lamentablemente, aproximadamente 950 000 máquinas de acceso público en Internet son vulnerables al error BlueKeep.

Esto significa claramente que incluso después de que se lanzó el parche de seguridad, no todos los usuarios y organizaciones lo implementaron para abordar el problema, lo que representa un riesgo masivo para las personas y las organizaciones, incluidos los entornos industriales y de atención médica.

Graham usó «rdpscan», una herramienta de escaneo rápido que construyó sobre su escáner de puertos Masscan que puede escanear todo Internet en busca de sistemas aún vulnerables a la vulnerabilidad BlueKeep, y encontró un total de 7 millones de sistemas que escuchaban en el puerto 3389, de los cuales alrededor de 1 millón de sistemas siguen siendo vulnerables.

«Es probable que los piratas informáticos descubran un exploit robusto en el próximo mes o dos y causen estragos en estas máquinas», dice el investigador.

«Eso significa que cuando el gusano ataque, probablemente comprometerá esos millones de dispositivos. Esto probablemente conducirá a un evento tan dañino como WannaCry, y no a Petya de 2017, potencialmente peor, ya que los piratas informáticos han perfeccionado sus habilidades explotando estas cosas en busca de ransomware y otras maldades».

La vulnerabilidad de BlueKeep tiene tanto potencial para causar estragos en todo el mundo que obligó a Microsoft a lanzar parches no solo para las versiones compatibles de Windows, sino también para Windows XP, Windows Vista y Windows Server 2003, que ya no reciben el soporte principal de la empresa pero siguen siendo ampliamente utilizados. usado.

No solo los investigadores, los piratas informáticos maliciosos y los ciberdelincuentes también han comenzado a escanear Internet en busca de sistemas Windows vulnerables para atacarlos con malware, dijo GreyNoise Intelligence.

GreyNoise está observando pruebas exhaustivas para sistemas vulnerables a la vulnerabilidad RDP «BlueKeep» (CVE-2019-0708) de varias docenas de hosts en Internet. Esta actividad se ha observado exclusivamente desde nodos de salida Tor y es probable que la ejecute un solo actor. «los Pío dice.

Sin embargo, afortunadamente, hasta el momento ningún investigador de seguridad ha publicado públicamente ningún código de explotación de prueba de concepto para BlueKeep, aunque algunos de ellos han confirmado haber desarrollado con éxito una explotación funcional.

¿Sigues esperando que te diga qué debes hacer a continuación? Ve y arregla la maldita vulnerabilidad si estás usando uno de ellos.

Si no es posible corregir la falla en su organización antes, entonces puede tomar estas mitigaciones:

  • Deshabilite los servicios RDP, si no son necesarios.
  • Bloquee el puerto 3389 usando un firewall o hágalo accesible solo a través de una VPN privada.
  • Habilite la autenticación de nivel de red (NLA): esta es una mitigación parcial para evitar que cualquier atacante no autenticado explote esta falla de Wormable.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested