Microsoft está advirtiendo que Internet podría ver otro ataque con la magnitud del ataque WannaCry y ha corregido 79 vulnerabilidades, 23 de ellas críticas y casi todas ellas a su vez concentras en el motor de scripting Chakra.
Lo más destacado:
- Correge un problema de ejecución de código en el servidor de DHCP.
- Corrige un grave problema de elevación a través del sistema de reporte de errores, que estaba siendo aprovechado por atacantes.
- Se han publicado parches para corregir un grave problema de ejecución de código (CVE-2019-0708) en RDS (Terminal Server), que podría ser wormeable por un malware. Lo interesante es que, probablemente ante el miedo a un nuevo WannaCry, se han publicado parches para los obsoletos Windows XP y 2003, que no reciben un parche precisamente desde junio de 2017 (poco después de ese incidente) y que dejaron de recibir soporte de seguridad en 2014.
“Esta vulnerabilidad es la autenticación previa y no requiere la interacción del usuario”, escribió Simon Pope, director de respuesta a incidentes en el Centro de Respuesta de Seguridad de Microsoft, en una publicación publicada que coincidió con el lanzamiento del martes de la actualización de mayo de la compañía. “En otras palabras, la vulnerabilidad es ‘wormable’, lo que significa que cualquier malware futuro que explote esta vulnerabilidad podría propagarse de una computadora vulnerable a una computadora vulnerable de una manera similar a la del malware WannaCry que se extendió por todo el mundo en 2017. Aunque no hemos observado ninguna explotación de esta vulnerabilidad, es muy probable que los actores malintencionados escriban un exploit para esta vulnerabilidad y la incorporen en su malware”.
Como si una vulnerabilidad de autorreplicación y ejecución de código no fuera lo suficientemente grave, CVE-2019-0708, requiere una baja complejidad para ser explotada y aunque su puntuación es de 3.9 de 10, desarrollar un código de explotación confiable para esta última vulnerabilidad de Windows requerirá relativamente poco trabajo.
“La explotación de la vulnerabilidad, como se describe en el aviso, simplemente requeriría que alguien envíe paquetes específicos a través de la red a un sistema vulnerable que tenga el servicio RDP disponible”. Seguramente aparecerán exploits en los próximos días.
Los firewalls de red y otras defensas que bloquean el servicio RDP efectivamente detendrían el ataque. Es decir se debe bloquear el acceso RDP desde el exterior.
El investigador independiente Kevin Beaumont, citando consultas en el motor de búsqueda Shodan de computadoras conectadas a Internet, dijo que aproximadamente 3 millones de puntos finales de RDP están directamente expuestos. Tod Beardsley, director de investigación de la firma de seguridad Rapid7, dijo que un escáner de Internet alternativo, BinaryEdge, muestra que se estima que hay 16 millones de puntos finales expuestos a Internet en los puertos TCP 3389 y 3388, que normalmente están reservados para RDP.
¿Qué versiones son vulnerables?
Además de Windows 2003 y XP, CVE-2019-0708 también afecta a Windows 7, Windows Server 2008 R2 y Windows Server 2008. Como prueba de la seguridad cada vez mayor de Microsoft, las versiones posteriores de Windows no están en riesgo.
“Los clientes que ejecutan Windows 8 y Windows 10 no se ven afectados por esta vulnerabilidad, y no es una coincidencia que las versiones posteriores de Windows no se vean afectadas”, escribió Pope.
El subtexto es que, si bien cualquier persona que aún use una versión vulnerable de Windows debería parchearse de inmediato, la decisión más inteligente a largo plazo es actualizar a Windows 8 o 10 en un futuro cercano.
Microsoft acreditó al Centro Nacional de Seguridad Cibernética del Reino Unido por informar en privado sobre la vulnerabilidad. Aunque Microsoft dijo que no ha observado ningún tipo de explotación en la naturaleza, aún no está claro cómo se identificó una vulnerabilidad tan antigua y grave como esta ahora.