Se han descubierto 4 nuevas vulnerabilidades en el servicio RDP de Microsoft que permite la ejecución de código remoto similar a la vulnerabilidad recientemente parechada BlueKeep.
La vulnerabilidad es ‘wormable’, lo que significa que cualquier malware futuro que explote esta vulnerabilidad podría propagarse de ordenador en ordenador vulnerable de forma similar a como se propagó el malware de WannaCry por todo el mundo en 2017.
Descubierto por el propio equipo de seguridad de Microsoft, las cuatro vulnerabilidades, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 y CVE-2019-1226, pueden ser explotadas por atacantes remotos no autenticados para tomar el control sin que sea necesaria la interacción del usuario.
«Un atacante puede conseguir la ejecución de código a nivel de sistema enviando un paquete RDP de preautenticación especialmente diseñado para un servidor RDS afectado», advirtió Microsoft.
«Las versiones afectadas de Windows son Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 y todas las versiones compatibles de Windows 10, incluidas las versiones servidor».
Las dos primeras vulnerabilidades afectan a todas las versiones compatibles del sistema operativo Windows y el segundo conjunto de vulnerabilidades (1222 y 1226) sólo afectan a Windows 10 y Windows Server Editions.
Las nuevas vulnerabilidades no afectan a Windows XP, Windows Server 2003 y Windows Server 2008 ni al propio Protocolo de Escritorio Remoto (RDP) que Microsoft desarrolló para los Servicios de Escritorio Remoto.
En su lugar, las vulnerabilidades residen en los Servicios de Escritorio Remoto -antes conocidos como Servicios de Terminal- que pueden ser explotados por atacantes remotos no autenticados mediante el envío de solicitudes especialmente diseñadas a través del protocolo RDP a un sistema objetivo.
Además de esto, Microsoft también señala que la empresa no ha encontrado «ninguna prueba de que estas vulnerabilidades estuviesen en conocimiento de terceros», o que estén siendo explotadas activamente.
«Es importante que los sistemas afectados se parcheen tan pronto como sea posible debido a los elevados riesgos asociados con vulnerabilidades wormable como estas», aconsejó Microsoft.
