Microsoft advierte que un nuevo bug de Windows podría llevar a otro WannaCry

Microsoft está alertando que podría haber otro exploit tipo WannaCry el cual paralizó ordenadores en todo el mundo hace dos años, a menos que los usuarios parcheen esta vulnerabilidad gravedad. El fabricante de software dio el inusual paso de realizar el backporting del parche lanzado para Windows 2003 y XP, que no tienen soporte desde hace cuatro y cinco años, respectivamente.

«Esta vulnerabilidad es una pre-autenticación y no requiere la interacción por parte del usuario», comentó Simon Pope, director del Microsoft Security Response Center, en un post que publicó coincidiendo con el lanzamiento de las actualizaciones de Mayo.

«En otras palabras, la vulnerabilidad es ‘wormable’, lo que significa que cualquier malware futuro que explote esta vulnerabilidad podría propagarse de ordenador en ordenador vulnerable de forma similar a como se propagó el malware de WannaCry por todo el mundo en 2017. Aunque no hemos observado ninguna actividad de explotación de esta vulnerabilidad, es muy probable que los atacantes escriban un exploit para esta vulnerabilidad y la incorporen a su malware».

Como si una vulnerabilidad de ejecución de código auto-replicable no fuera lo suficientemente seria, CVE-2019-0708, ya que la vulnerabilidad de Windows Remote Desktop Services está catalogada, requiere una baja complejidad para ser aprovechada. El nivel de puntuación de vulnerabilidades de Microsoft la ha calificado esa complejidad como 3,9 sobre 10. (Para ser precisos), los desarrolladores de WannaCry tenían un potente código escrito por la Agencia de Seguridad Nacional (NSA), y posteriormente fue robado, para aprovechar las vulnerabilidades de los gusanos CVE-2017-0144 y CVE-2017-0145, que tenían complejidades de explotación con un grado «alto»). Sin embargo, en último instancia, el desarrollo de código de explotación para esta última vulnerabilidad de Windows requerirá relativamente poco trabajo.

«La utilización de la vulnerabilidad, tal y como se describe en el aviso, simplemente requeriría que alguien enviara paquetes específicos a través de la red a un sistema vulnerable que tenga disponible el servicio RDP», comentó Brian Bartholomew, investigador principal de seguridad del Equipo de Investigación y Análisis Global de Kaspersky Lab. «Anteriormente, las vulnerabilidades de este servicio han sido bastante fáciles de corregir una vez que el parche se ha aplicado. Supongo que proximamente alguien lanzará un exploit».

Bartholomew dijo que los firewalls y otras defensas que bloqueen el servicio RDP detendrían eficazmente el ataque. Pero como el mundo aprendió durante los ataques de WannaCry, esas medidas a menudo no logran contener los daños que colectivamente pueden ser costosos.

El investigador independiente Kevin Beaumont, refiriéndose a las consultas sobre el motor de búsqueda Shodan de los equipos conectados a Internet, dijo que unos 3 millones de terminales de RDP están directamente expuestos.

https://twitter.com/GossiTheDog/status/1128348383704485895

Tod Beardsley, director de investigación de la empresa de seguridad Rapid7, dijo que un analizador de Internet alternativo, BinaryEdge, muestra que hay aproximadamente 16 millones de puntos finales expuestos a Internet en los puertos TCP 3389 y 3388, que normalmente están reservados para RDP.

Una empresa de seguridad diferente, CyberX, analizó el tráfico de 850 sistemas tecnologicos operacionales, los cuales son empleados para administrar las líneas de producción de fábricas, la monitorización de gas, y otros tipos de actividades industriales. Los investigadores descubrieron que el 53 por ciento de ellos ejecuta versiones no soportadas de Windows, muchas de las cuales probablemente se vean afectadas por la vulnerabilidad recién parcheada. La ausencia de actualizaciones se debe a la dificultad de desconectar los equipos en entornos de importancia crítica que funcionan de forma ininterrumpida. Phil Neray, vicepresidente de ciberseguridad industrial de CyberX, con sede en Boston, dijo que una medida provisional para estas empresas es la implementación de controles para compensar, como la segmentación de la red y la monitorización continua de la red.

¿Qué versiones son vulnerables?

Además de Windows 2003 y XP, CVE-2019-0708 también afecta a Windows 7, Windows Server 2008 R2 y Windows Server 2008. En un ejemplo de la constante mejora de la seguridad de Microsoft, las versiones posteriores de Windows no están expuestas.

«Los ususarios que ejecutan Windows 8 y Windows 10 no se ven afectados por esta vulnerabilidad, y no es coincidencia que las versiones posteriores de Windows no se vean afectadas», escribió Pope. «Microsoft invierte mucho en reforzar la seguridad de sus productos, a menudo a través de importantes mejoras arquitectónicas que no son posibles con las versiones anteriores de Windows».

Mientras se siga utilizando una versión vulnerable de Windows se debería parchear inmediatamente, el movimiento más inteligente a largo plazo es actualizar versiones más actuales de Windows.

Microsoft reconoció al Centro Nacional de Seguridad Cibernética del Reino Unido por informar privadamente sobre la vulnerabilidad. Aunque Microsoft dijo que no ha observado ningún tipo de explotación, sigue sin estar claro con precisión cómo una vulnerabilidad tan antigua y tan grave no fue descubierta hasta ahora.

«Hace que uno se pregunte, ¿cómo lo encontraron en primer lugar?» Bartholomew, de Kaspersky Lab, dijo. «¿Vieron esto en ataques en otros lugares? ¿Fue esta una vieja maniobra que fue utilizada por gobiernos amigos en el pasado y que ahora sigue su curso? ¿Se filtró este exploit de alguna manera y están siendo proactivos? Por supuesto, probablemente nunca sabremos la respuesta real, y honestamente todo es especulación en este punto, pero puede que haya algo aquí para investigar».

Fuente original

16/05/2019 Actualización: Ya están disponibles los parches para Windows XP y Windows Server 2003 en la siguiente URL del Catálogo de Microsoft Update.