BlueeKeep, vulnerabilidad tipo Wannacry en protocolo RDP parcheada por Microsoft

¿Os acordáis de Wannacry? Ya hablé de él aquí hace unos dos años porque la verdad es que dio una guerra… interesante. Pues ahora se teme que pueda volver a suceder algo similar si no se toman medidas. Por eso Microsoft ha lanzado en el parche de los Martes para Mayo 2019 una solución.

Acompáñame en este breve repaso por los parches mensuales de la empresa americana y además te explicaré en qué consiste el fallo detectado sobre WER y la vulnerabilidad en RDP de la que todo el mundo hablará estos días.

Parches de los martes para Mayo de 2019

Como decía, el fallo de seguridad CVE-2019-0863 se ha detectado sobre WER (Windows Error Reporting) y podría desencadenar un ataque de escalado de privilegios, dado que WER maneja de forma incorrecta los archivos. Esta vulnerabilidad puede ser aprovechada por un atacante con acceso de bajo privilegio al sistema objetivo:

Una elevación de privilegios ha sido detectada en la forma en que Windows Error Reporting gestiona archivos. Un atacante que logre explotar esta vulnerabilidad con éxito podría ejecutar código arbitrario en modo Kernel. Un atacante podría instalar programas, ver, cambiar o eliminar datos, así como crear nuevas cuentas de usuario con privilegios de administrador.

Para explotar la vulnerabilidad el ciberdelincuente debería antes contar con acceso sin privilegio al sistema. A esto se lo conoce como PolarBear por parte de Palo Alto, descubridora del fallo.

En total se han lanzado paquetes correctivos para casi 80 vulnerabilidades, entre las que se encuentran:

• Windows
• Internet Explorer
• MS Edge
• Microsoft Office (incluyendo Office services y Apps web)
• ChackraCore
• .NET
• ASP.NET
• Skype for Android
• Azure DevOps Server
• NuGet Package Manager

En total se han calificado como críticas nada menos que 18 vulnerabilidades, más que en meses anteriores.

En sistemas Windows, se han lanzado actualizaciones de seguridad mediante Windows Update para Windows 7, Windows Server 2008 R2, además parches separados para SO no soportados actualmente, como Windows Server 2003.

El patch-tuesday corrige un posible Wannacry 2.0

Además, se ha corregido una vulnerabilidad de ejecución de código remoto en RDS (CVE-2019-0708) que podría permitir a un atacante sin autenticar conectar con el sistema objetivo mediante Escritorio Remoto, enviando una solicitud especialmente manipulada.

El protocolo RDP responde a Remote Desktop Protocol -también conocido como Terminal Services- y es un medio de conexión remota a otros equipos, muy utilizado en empresas y hogares de todo el mundo. Este funciona de manera predeterminada en el puerto 3389 TCP, aunque puede cambiarse.

Un atacante podría enviar una solicitud manipulada de tal forma que consiga entrar en el protocolo RDP (3389 TCP). Esto se debe a que existe una vulnerabilidad de Remote Code Execution que permite el acceso  pre-autenticado por error. Por tanto, el usuario ni siquiera tendría que hacer nada para que el ataque tenga éxito.

Una vez dentro, el atacante podría hacer cualquier cosa en la máquina, desde moverse lateralmente e infectar a otras (se presta especialmente a combinarse con un gusano) hasta instalar cualquier tipo de malware o spyware.

Esta vulnerabilidad no afecta a Windows 8 ni Windows 10, pero las versiones previas están afectadas. Para estas, es necesario aplicar los parches cuanto antes.

La recomendación es, además, bloquear las conexiones entrantes por el puerto 3389 y forzar la autenticación a nivel de red para conectar con estos servicios. De esta manera se frena la posibilidad de accesos pre-autenticados.