BlueKeep ( CVE - 2019 hasta 0708 ) es una vulnerabilidad de seguridad que fue descubierto en Microsoft 's Remote Desktop Protocol aplicación (RDP), que permite la posibilidad de ejecución de código remoto .
Identificador (es) CVE | CVE - 2019-0708 |
---|---|
Fecha parcheada | 14 de mayo de 2019 [1] |
Descubridor | Centro Nacional de Seguridad Cibernética del Reino Unido [2] |
Software afectado | versiones anteriores a Windows 8 de Microsoft Windows |
Reportado por primera vez en mayo de 2019, está presente en todas las versiones de Microsoft Windows sin parches basadas en Windows NT desde Windows 2000 hasta Windows Server 2008 R2 y Windows 7 . Microsoft emitió un parche de seguridad (incluida una actualización fuera de banda para varias versiones de Windows que han llegado al final de su vida útil, como Windows XP ) el 14 de mayo de 2019. El 13 de agosto de 2019, vulnerabilidades de seguridad relacionadas con BlueKeep, en conjunto llamado DejaBlue , se informó que afecta a las versiones más recientes de Windows, incluido Windows 7 y todas las versiones recientes hasta Windows 10 del sistema operativo, así como las versiones anteriores de Windows. [3] El 6 de septiembre de 2019, se anunció que un exploit de Metasploit de la vulnerabilidad de seguridad con gusanos BlueKeep se había lanzado al ámbito público. [4]
Historia
La vulnerabilidad de seguridad BlueKeep fue detectada por primera vez por el Centro Nacional de Seguridad Cibernética del Reino Unido [2] y, el 14 de mayo de 2019, informó Microsoft . La vulnerabilidad fue nombrada BlueKeep por el experto en seguridad informática Kevin Beaumont en Twitter . BlueKeep se rastrea oficialmente como: CVE- 2019-0708 y es una vulnerabilidad de ejecución remota de código " desparasitable " . [5] [6]
Tanto la Agencia de Seguridad Nacional de EE. UU . (Que emitió su propio aviso sobre la vulnerabilidad el 4 de junio de 2019) [7] como Microsoft declararon que esta vulnerabilidad podría ser utilizada por gusanos autopropagados , con Microsoft (según la estimación de un investigador de seguridad de que casi 1 millón de dispositivos eran vulnerables) diciendo que un ataque tan teórico podría ser de una escala similar a EternalBlue basados en ataques como NotPetya y WannaCry . [8] [9] [7]
El mismo día del aviso de la NSA, los investigadores del Centro de Coordinación CERT revelaron un problema de seguridad separado relacionado con RDP en la Actualización de Windows 10 de mayo de 2019 y Windows Server 2019 , citando un nuevo comportamiento donde las credenciales de inicio de sesión de Autenticación de nivel de red (NLA) de RDP son almacenado en caché en el sistema cliente, y el usuario puede volver a obtener acceso a su conexión RDP automáticamente si se interrumpe su conexión de red. Microsoft descartó esta vulnerabilidad como un comportamiento previsto y se puede deshabilitar a través de la Política de grupo . [10]
Al 1 de junio de 2019, no parecía que se conociera públicamente ningún malware activo de la vulnerabilidad; sin embargo, es posible que hayan estado disponibles códigos de prueba de concepto (PoC) no divulgados que explotan la vulnerabilidad. [8] [11] [12] [13] El 1 de julio de 2019, Sophos , una empresa de seguridad británica, informó sobre un ejemplo práctico de tal PoC, para enfatizar la necesidad urgente de parchear la vulnerabilidad. [14] [15] [16] El 22 de julio de 2019, un conferenciante de una empresa de seguridad china supuestamente reveló más detalles de un exploit. [17] El 25 de julio de 2019, expertos en informática informaron de que podría haber estado disponible una versión comercial del exploit. [18] [19] El 31 de julio de 2019, los expertos en informática informaron de un aumento significativo en la actividad maliciosa de RDP y advirtieron, basándose en el historial de exploits de vulnerabilidades similares, que un exploit activo de la vulnerabilidad BlueKeep en la naturaleza podría ser inminente. [20]
El 13 de agosto de 2019, se informó que las vulnerabilidades de seguridad relacionadas de BlueKeep, denominadas colectivamente DejaBlue , afectaron a las versiones más recientes de Windows, incluido Windows 7 y todas las versiones recientes del sistema operativo hasta Windows 10 , así como las versiones anteriores de Windows. [3]
El 6 de septiembre de 2019, se anunció que se había lanzado al ámbito público una explotación de la vulnerabilidad de seguridad de BlueKeep que se puede eliminar con gusanos. [4] Sin embargo, la versión inicial de este exploit no era confiable, ya que se sabía que causaba errores de " pantalla azul de la muerte " (BSOD). Más tarde se anunció una solución, eliminando la causa del error BSOD. [21]
El 2 de noviembre de 2019, se informó sobre la primera campaña de piratería de BlueKeep a escala masiva, e incluyó una misión de criptojacking fallida. [22]
El 8 de noviembre de 2019, Microsoft confirmó un ataque BlueKeep e instó a los usuarios a parchear inmediatamente sus sistemas Windows. [23]
Mecanismo
El protocolo RDP utiliza "canales virtuales", configurados antes de la autenticación, como una ruta de datos entre el cliente y el servidor para proporcionar extensiones. RDP 5.1 define 32 canales virtuales "estáticos", y los canales virtuales "dinámicos" están contenidos dentro de uno de estos canales estáticos. Si un servidor enlaza el canal virtual "MS_T120" (un canal para el cual no existe una razón legítima para que un cliente se conecte) con un canal estático que no sea 31, se produce una corrupción del montón que permite la ejecución de código arbitrario a nivel del sistema. [24]
Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 y Windows Server 2008 R2 fueron nombrados por Microsoft como vulnerables a este ataque. Las versiones posteriores a la 7, como Windows 8 y Windows 10 , no se vieron afectadas. La Agencia de Seguridad de Infraestructura y Ciberseguridad declaró que también había logrado la ejecución de código a través de la vulnerabilidad en Windows 2000 . [25]
Mitigación
Microsoft lanzó parches para la vulnerabilidad el 14 de mayo de 2019, para Windows XP , Windows Vista , Windows 7 , Windows Server 2003 , Windows Server 2008 y Windows Server 2008 R2 . Esto incluía versiones de Windows que han llegado al final de su vida útil (como Vista, XP y Server 2003) y, por lo tanto, ya no son elegibles para las actualizaciones de seguridad. [8] El parche obliga al canal "MS_T120" mencionado anteriormente a estar siempre vinculado a 31 incluso si un servidor RDP solicita lo contrario. [24]
La NSA recomendó medidas adicionales, como deshabilitar los Servicios de escritorio remoto y su puerto asociado ( TCP 3389) si no se está utilizando, y requerir Autenticación de nivel de red (NLA) para RDP. [26] Según la empresa de seguridad informática Sophos , la autenticación de dos factores puede hacer que el problema de RDP sea menos vulnerable. Sin embargo, la mejor protección es quitar RDP de Internet: apague RDP si no es necesario y, si es necesario, haga que RDP sea accesible solo a través de una VPN . [27]
Ver también
- Ataque de ransomware Bad Rabbit - 2017
- Blaster (gusano informático)
- Ciberataque Dyn - 2016
- Sasser (gusano informático)
Referencias
- ^ Foley, Mary Jo (14 de mayo de 2019). "Microsoft parchea Windows XP, Server 2003 para tratar de evitar el defecto 'gusano'" . ZDNet . Consultado el 7 de junio de 2019 .
- ^ a b Microsoft (mayo de 2019). "Guía de actualización de seguridad - Agradecimientos, mayo de 2019" . Microsoft . Consultado el 7 de junio de 2019 .
- ^ a b Greenberg, Andy (13 de agosto de 2019). "DejaBlue: nuevos errores de estilo BlueKeep renuevan el riesgo de un gusano de Windows" . Cableado . Consultado el 13 de agosto de 2019 .
- ^ a b Goodin, Dan (6 de septiembre de 2019). "Exploit for wormable BlueKeep Windows bug liberado en la naturaleza - El módulo Metasploit no está tan pulido como el exploit EternalBlue. Aún así, es poderoso" . Ars Technica . Consultado el 6 de septiembre de 2019 .
- ^ "Orientación al cliente para CVE-2019-0708 - Vulnerabilidad de ejecución de código remoto de servicios de escritorio remoto" . Microsoft . 2019-05-14 . Consultado el 29 de mayo de 2019 .
- ^ "CVE-2019-0708 Vulnerabilidad de ejecución remota de código de servicios de escritorio remoto - Vulnerabilidad de seguridad" . Microsoft . 2019-05-14 . Consultado el 28 de mayo de 2019 .
- ^ a b Cimpanu, Catalin. "Incluso la NSA está instando a los usuarios de Windows a parchear BlueKeep (CVE-2019-0708)" . ZDNet . Consultado el 20 de junio de 2019 .
- ^ a b c Goodin, Dan (31 de mayo de 2019). "Microsoft prácticamente ruega a los usuarios de Windows que corrijan el defecto de BlueKeep" . Ars Technica . Consultado el 31 de mayo de 2019 .
- ^ Warren, Tom (14 de mayo de 2019). "Microsoft advierte de un gran ataque de seguridad de Windows similar a WannaCry, lanza parches de XP" . The Verge . Consultado el 20 de junio de 2019 .
- ^ "Microsoft descarta el nuevo 'error' de Windows RDP como una característica" . Seguridad desnuda . 2019-06-06 . Consultado el 20 de junio de 2019 .
- ^ Whittaker, Zack (31 de mayo de 2019). "Microsoft advierte a los usuarios que apliquen parches cuando aparezcan exploits para el error BlueKeep 'wormable'" . TechCrunch . Consultado el 31 de mayo de 2019 .
- ^ O'Neill, Patrick Howell (31 de mayo de 2019). "Necesita parchear sus PC con Windows más antiguas ahora mismo para corregir un defecto grave" . Gizmodo . Consultado el 31 de mayo de 2019 .
- ^ Winder, Davey (1 de junio de 2019). "Microsoft emite una advertencia de 'Actualizar ahora' para los usuarios de Windows" . Forbes . Consultado el 1 de junio de 2019 .
- ^ Palmer, Danny (2 de julio de 2019). "BlueKeep: los investigadores muestran lo peligroso que podría ser realmente este exploit de Windows. Los investigadores desarrollan un ataque de prueba de concepto después de aplicar ingeniería inversa al parche Microsoft BlueKeep" . ZDNet . Consultado el 2 de julio de 2019 .
- ^ Stockley, Mark (1 de julio de 2019). "El exploit RDP BlueKeep muestra por qué realmente necesita parchear" . NakedSecurity.com . Consultado el 1 de julio de 2019 .
- ^ Personal (2019-05-29). "CVE-2019-0708: vulnerabilidad de ejecución de código remoto de servicios de escritorio remoto (conocida como BlueKeep) - boletín de soporte técnico" . Sophos . Consultado el 2 de julio de 2019 .
- ^ Goodin, Dan (22 de julio de 2019). "Las posibilidades de que se produzca un exploit destructivo de BlueKeep aumentan con un nuevo explicador publicado en línea. Las diapositivas ofrecen la documentación técnica pública más detallada que se ha visto hasta ahora" . Ars Technica . Consultado el 23 de julio de 2019 .
- ^ Cimpanu, Catalin (25 de julio de 2019). "Empresa estadounidense que vende el exploit BlueKeep armado: ahora se vende comercialmente un exploit para una vulnerabilidad que Microsoft temía que pudiera desencadenar el próximo WannaCry" . ZDNet . Consultado el 25 de julio de 2019 .
- ^ Franceschi-Bicchieral, Lorenzo (26 de julio de 2019). "Firma de ciberseguridad elimina el código para la vulnerabilidad increíblemente peligrosa 'BlueKeep' de Windows: investigadores del contratista del gobierno de EE. UU. Immunity han desarrollado un exploit funcional para el temido error de Windows conocido como BlueKeep" . Vice . Consultado el 26 de julio de 2019 .
- ^ Rudis, Bob (31 de julio de 2019). "BlueKeep Exploits pueden venir: nuestras observaciones y recomendaciones" . Rapid7.com . Consultado el 1 de agosto de 2019 .
- ^ Cimpanu, Catalin (11 de noviembre de 2019). "BlueKeep exploit para solucionar su problema de BSOD" . ZDNet .
- ^ Greenberg, Andy (2 de noviembre de 2019). "El primer ataque masivo de BlueKeep finalmente está aquí, pero no entre en pánico. Después de meses de advertencias, ha llegado el primer ataque exitoso usando la vulnerabilidad BlueKeep de Microsoft, pero no es tan malo como podría haber sido" . Cableado . Consultado el 3 de noviembre de 2019 .
- ^ "Microsoft trabaja con investigadores para detectar y protegerse contra nuevas vulnerabilidades de RDP" . Microsoft . 2019-11-07 . Consultado el 9 de noviembre de 2019 .
- ^ a b "RDP significa" Really DO Patch! "- Comprensión de la vulnerabilidad Wormable RDP CVE-2019-0708" . Blogs de McAfee . 2019-05-21 . Consultado el 19 de junio de 2019 .
- ^ Tung, Liam. "Seguridad Nacional: Hemos probado el ataque Windows BlueKeep y funciona, así que parchea ahora" . ZDNet . Consultado el 20 de junio de 2019 .
- ^ Cimpanu, Catalin. "Incluso la NSA está instando a los usuarios de Windows a parchear BlueKeep (CVE-2019-0708)" . ZDNet . Consultado el 20 de junio de 2019 .
- ^ Stockley, Mark (17 de julio de 2019). "RDP expuesto: los lobos ya en tu puerta" . Sophos . Consultado el 17 de julio de 2019 .
enlaces externos
- BlueKeep: parches de actualización de Windows AQUÍ , AQUÍ y AQUÍ ( Microsoft ).
- Prueba de concepto del defecto de Sophos
- Discusión técnica sobre la falla en YouTube