El Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) de EE.UU. ha logrado probar con éxito un exploit de ejecución remota de código para la vulnerabilidad BlueKeep, presente en versiones antiguas del sistema operativo Windows. En este sentido, la agencia advirtió a los equipos de seguridad y de Tecnología de la Información (TI) que aún utilizan estas versiones del software, que instalen de inmediato los últimos parches de seguridad que Microsoft lanzó para corregir el problema.
A través de una alerta publicada en su sitio web, la Agencia de Seguridad de Infraestructura y Ciberseguridad del DHS constató que BlueKeep puede afectar las versiones de Windows 2000, Windows XP, , Windows 2003 Windows 7 y Windows Server 2008, que no cuentan con los parches de seguridad respectivos.
Ataques de ejecución remota
A finales de mayo pasado, una investigación realizada por Errata Security reveló que al menos 1 millón de ordenadores con Windows aún estaban expuestos a esta vulnerabilidad del servicio de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés).
Clasificada por Windows como CVE-2019-0708, la amenaza se ha mantenido bajo el radar de los investigadores de seguridad durante el último mes. El gigante de Redmond lanzó un parche de seguridad y ha emitido dos advertencias sobre la vulnerabilidad, que podría permitir a los hackers utilizar un exploit para controlar de manera remota los equipos afectados. En el caso de los usuarios de Windows 8 y Windows 10, sus dispositivos no se verán perjudicados por la amenaza.
La importancia de la advertencia del DHS radica en que el propio departamento probó el exploit de ataque, lo que quiere decir que los hackers aún tienen la posibilidad de ejecutar código de manera remota para enviar malware a cualquier servidor o PC vulnerable. En caso de que esto ocurra, BlueKeep dejaría abierta la posibilidad para un ataque similar al de NotPetya en 2017.
Además de actualizar las versiones de Windows afectadas por BlueKeep, el DHS emitió las siguientes recomendaciones:
- Bloquear el puerto TCP 3389 en el Firewall de Windows, debido a que el RDP utiliza este puerto y los hackers podrían usarlo para conectarse a la red.
- Habilitar la autenticación de nivel de red, ya que el hacker necesitaría credenciales válidas para llevar a cabo la autenticación de código remoto.
- Deshabilitar los servicios de RDP si no están en uso.