Archivos del autor: Felipe Rodriguez

10 Riesgos de seguridad de datos que te podrían impactar en 2020

n el panorama digital de hoy, pocas cosas causan tanto temor como una filtración de datos. No sólo por el enorme costo monetario en multas, corrección, y reparación, sino también por las consecuencias de mercado a las que son expuestas las empresas que son víctimas de ataques, con sus consecuencias publicitadas, lo que se traduce en un menoscabo de la apreciación de seriedad de la organización ante su púbico objetivo.

Es precisamente esta visibilidad la que convierte a la ciberseguridad en una publicidad positiva “no-implícita” para las organizaciones.

Aún más, la seguridad de los datos debiese ser el resultado más importante en una operación para las empresas entrando el año 2020, ya que no toda ciberamenaza tiene el mismo riesgo, y las compañías pueden trabajar para proveer una protección de datos sobresaliente al fortalecer sus estándares de seguridad en contra de las amenazas más alarmantes.

En este afán es que presentamos 10 riesgos a la privacidad de los datos que podrían afectar a las organizaciones el próximo año 2020:

1.- Filtración accidental

No todos los eventos de pérdida de datos son fruto de alguna complicada operación de cibercriminales. De hecho un gran número de filtraciones de datos provienen de los propios empleados de la compañía, quienes en ocaciones accidentalmente comparten o manejan de mala manera los datos sensibles. El extravío de activos de información o errores de direccionamiento de los datos son algunas de las formas en que esta problemática se presenta.

De acuerdo a un reporte de Shred-it, el 40% de los ejecutivos senior atribuyeron sus más recientes incidentes de seguridad a estos comportamientos.

Por ejemplo, en agosto, la información personal identificable de cientos de australianos, junto a sus detalles de salud, fueron expuestos al público luego de que un empleado accidentalmente enviara a un proveedor una planilla conteniendo información sensible.

La gente comete estos errores, y mitigar el riesgo asociado a estos errores es crítico para proteger la privacidad de los datos.

2.- Equipos de ciberseguridad sobreexigidos

Es poca la cantidad de profesionales que hoy soportan la carga del panorama de la ciberseguridad, como los administradores de TI que deben proteger la información más sensible de una organización.

Quizás no debamos sorprendernos si es que se sienten desgastados.

Más de 2/3 de los profesionales de la ciberseguridad han considerado dejar sus trabajos o inclusive dejar la industria, y su fatiga en general hace que una eventual situación difícil sea aún mas complicada.

Esto deja a las organizaciones expuestas, lo que podría incrementar el ímpetu de implementar automatización donde y cuándo sea posible. Esto ayuda a bajar la carga de actividades repetitivas y desgastantes, mejorar su presición, y especializar a los profesionales de seguridad TI con herramientas que permitan apuntar a la excelencia en su trabajo.

3.- Robo de datos por empleados

Cuando las compañías consideran sus riesgos de ciberseguridad, las amenazas externas se encuentran típicamente como primera preocupación. De hecho los cibercriminales juegan un rol prominente en los robos de datos, sin embargo los empleados de la compañía pueden ser protagonistas de muchos otros.

Un reporte de amenazas internas que realizó Verizon, indica que el 57% de las brechas en bases de datos incluye amenazas internas y que el 61% de estos empleados no tienen un rol de liderazgo cuando han comprometido los datos de sus clientes o usuarios.

Afortunadamente, existen mecanismos y procedimientos para evitar los riesgos ocasionados por sus amenazas internas. Por ejemplo el DLP de Sophos que evita el envío de información sensible mediante correo electrónico y dispositivos extraíbles, entre otros.

4.- Ransomware

Pocas amenazas atraen tanto la atención de los medios de comunicación e infunden el miedo como lo hacen los ataques de ransomware. Estos ataques son cada vez mas frecuentes y las víctimas son organizaciones de todos los tamaños, además de que sus consecuencias pueden ser bastante costosas.

El costo de los ataques con ransomware aumenta más del doble con cada año, y se estima que esta tendencia seguirá así a futuro.

Muchos ataques con ransomware comienzan a nivel de los empleados de una compañía, en la forma de estafas con phishing y otras comunicaciones maliciosas enviadas por los atacantes, las cuales gatillan la infección. Por tanto, además de tener precaución en los posibles puntos de entrada de estas amenazas, es recomendable utilizar una herramienta de protección en contra de esta clase de amenazas. Intercept X de Sophos tiene un mecanismo de detección de operaciones sospechosas por parte de los procesos y protección de archivos contra modificaciones maliciosas, mitigando así el problema de la ejecución de un ransomware y protegiendo los archivos posiblemente encriptados.

5.- Mala higiene de contraseñas.

Recientemente Google realizó un estudio en varias credenciales de acceso y concluyó que el 1,5% de toda la información de login en el internet es vulnerable a ataques con credenciales robadas, estos accesos maliciosos posteriormente pueden ser utilizados para infringir ataques a la red de una compañía.

Muchas credenciales de acceso son comprometidas en robos de datos previos, y con muchas personas utilizando las mismas claves o algunas fáciles de adivinar, esta información puede ser utilizada para acceder a datos de una empresa aún cuando sus redes estén securizadas.

Por tanto, las mejores prácticas como por ejemplo, requerir que se cambien las contraseñas de forma periódica, es una forma simple pero consecuente de abordar esta posible amenaza.

También ayuda de cierta forma un gestor de contraseñas, nuestro partner ManageEngine, cuenta con la herramienta Password Manager Pro, la cual permite configurar un periodo de renovación de contraseñas, sugerencia de contraseñas aleatorias, y alertas de uso de cuentas, entre otros.

6.- Cohecho

Datos de la compañía y propiedad intelectual son ambos increíblemente valiosos y, en algunos casos, los empleados pueden ser sobornados para revelar esta información.

Por ejemplo, el 2018, Amazon acusó a varios empleados de participar en una confabulación que comprometió datos de clientes; y en 2019, se descubrió que empleados de AT&T recibieron sobornos para implantar malware en la red de la compañía.

Por supuesto que el cohecho no es la mejor manera de ejecutar un robo de datos, pero, especialmente para las compañías cuyo valor reside en su propiedad intelectual, puede ser un serio problema de seguridad de datos.

7.- Demasiado acceso a los datos.

Los datos que puede albergar una empresa son uno de los activos mas valiosos, y deben ser protegidos adecuadamente.

En un contexto simplificado: el acceso a los datos debe ser de acuerdo a la necesidad de saber los datos, minimizando la exposición y por ende, reduciendo el riesgo de mal uso accidental o doloso.

8.- Phishing

Los correos de phishing se encuentran en aumento, se ha observado un aumento del 250% en este año. Al mismo tiempo, la nueva tecnología y el aumento del acceso a la información hacen que estos ataques sean cada vez más sofisticados, aumentando así la posibilidad de que los atacantes infiltren los sistemas de información.

El aumento se debe a la facilidad con que un correo phishing puede implantar un agente malicioso dentro de una red corporativa, es mucho mas fácil inducir mediante un correo de engaño a un empleado para que visite un sitio que le instalará malware, a intentar otros métodos de intrusión.

A pesar de los mejores esfuerzos que cada organización aplica, estos mensajes maliciosos inevitablemente llegan a las bandejas de entrada de los empleados.
Manejar este trafico equipar a los empleados con las herramientas necesarias para defenderse de esta amenaza (educación y entrenamiento) es un aspecto crítico. PhisThreat de Sophos es una excelente plataforma de entrenamiento para usuarios, controlable desde la consola central de Sophos Cloud, con la capacidad de crear campañas de entrenamiento y obtener detalles y estadísticas para ir mejorando la conciencia del phishing dentro de la organización.

9.- Fraude

Los correos electrónicos y contraseñas se encuentran en alta demanda por los cibercriminales, ya que son los principales datos que son robados entre 70% y 64% de los ataques exitosos, respectivamente. ya que esta información puede ser usada posteriormente para desplegar otros ataques, las compañías deben estar alerta de como sus datos pueden ser utilizados en contra de ellos.

10.- Denegación

En el año que viene, muchas compañías no se ajustarán adecuadamente a medidas de integridad de datos, y este es potenciado cuando se trata de PYMEs, las cuales estadísticamente son las más vulnerables a los robos de datos. Un estudio de Keeper Security y Ponemon Institute halló que el 67% de las PYMEs tuvieron un incidente de ciberseguridad significativo durante el año pasado.

El panorama digital de hoy puede ser paralizante, pero no es imposible de surcar. Al controlar lo incontrolable, la responsabilidad de de mitigación de riesgos e implementar una estrategia de ciberseguridad holística. Cada organización debe poner su mejor esfuerzo en el empuje hacia delante cuando se trata de la seguridad de datos y la privacidad.

Fuentes:
https://www.forbes.com/sites/theyec/2019/10/01/10-data-security-risks-that-could-impact-your-company-in-2020
https://www.techrepublic.com/article/over-40-of-reported-security-breaches-are-caused-by-employee-negligence/
https://www.zdnet.com/article/cybersecurity-staff-burnout-risks-leaving-organisations-vulnerable-to-cyberattacks/
https://enterprise.verizon.com/resources/reports/insider-threat-report/
https://www.bleepingcomputer.com/news/security/google-estimates-15-percent-of-web-logins-exposed-in-data-breaches/
https://www.wsj.com/articles/amazon-investigates-employees-leaking-data-for-bribes-1537106401
https://www.zdnet.com/article/at-t-employees-took-bribes-to-plant-malware-on-the-companys-network/
https://www.digitaltrends.com/computing/microsoft-security-massive-increase-phishing-scams/
https://www.scmagazine.com/home/security-news/data-breach/first-half-2019-sees-4000-data-breaches-exposing-4b-records/
https://keepersecurity.com/assets/pdf/Keeper-2018-Ponemon-Report.pdf

El ataque Simjacker es más peligroso de lo que se pensaba

Serían mas de mil millones de tarjetas SIM afectadas por esta vulnerabilidad.

Hace poco tiempo publicamos un artículo acerca del ataque denominado Simjacker, el cual se demostró de ser capaz de ser explotado de forma silenciosa mediante SMS creados específicamente para ejecutar comandos en el teléfono víctima.

Recapitulando, la vulnerabilidad Simjacker reside en el conjunto de instrucciones de S@T Browser, el cual viene incorporado en una larga variedad de tarjetas SIM, incluyendo eSIM, provistas por operadores de telefonía móvil en al menos 30 países.

Continuar leyendo

Exploit de Bluekeep disponible en MetaSploit

Un exploit público de Bluekeep fue añadido al framework de pentesting open-source MetaSploit, desarrollado por Rapid7 junto a la comunidad open-source.

Bluekeep es una vulnerabilidad que permite la ejecución remota de código (RCE) descubierta en el protocolo de escritorio remoto de Windows (RPD) la cual permite que un atacante sin autenticar ejecute código arbitrariamente, realice ataques de denegación de servicio, y en algunos casos, tomar el control total de sistemas sin parchar.

Este exploit recién liberado utiliza código de la prueba de concepto de los contribuidores de Metasploit zǝɹosum0x0 y Ryan Hanson, está diseñado para afectar versiones de WIndows 7 y Windows 2008 R2 de 64 bits.

El gerente de ingenieros senior de MetaSploit, Brent Cook, indicó que por defecto, este exploit sólo identifica el sistema operativo del objetivo e indica si es o no vulnerable a Bluekeep. También apuntó a que este exploit no soporta automatización de objetivo sino que requiere que el usuario especifique manualmente los detalles del objetivo antes de intentar cualquier explotación.

zǝɹosum0x0 manifestó que toda la información requerida para explotar esta vulnerabilidad ya ha sido filtrada las semanas anteriores y existen al menos una docena de exploits privados anunciados. Ha sido una preocupación por muchos meses el parchado de esta vulnerabilidad, y al igual que otras fallas de windows que se pueden incluir en un gusano, posiblemente será una preocupación en los años venideros.

La publicación de este exploit sigue a un incrementado número de ataques que apuntan a los servicios RDP, con BinaryEdge detectando actualmente más de 1.000.000 de sistemas sin parchar expuestos en internet. Shodan a su vez tiene un dashboard con estadísticas por país afectado.

El exploit hace uso de una librería RDP de propósito general con mejoras, también tiene capacidades aumentadas para reconocimiento de RDP, las cuales benefician a los usuarios y contribuidores más allá del contexto de búsqueda y explotación de BlueeKeep. Si un IPS interrumpe el progreso del exploit de BlueKeep al detectar una firma de payload contra un sistema sin parchar, la desconexión causaría un error fatal en el objetivo, ya que el código del exploit se gatilla por una desconexión de red.

Otros exploits de BlueKeep

La herramienta CANVAS de la empresa Immunity agregó un exploit completamente funcional de BlueeKeep el 23 de julio, este es un exploit completo y no se limita a verificar la vulnerabilidad.

El parche para esta vulnerabilidad fue publicado por Microsoft el 14 de mayo de este año, este parche se puede descargar para cada versión de Windows desde https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708.

Además Microsoft publicó otros parches para vulnerabilidades de RDP en agosto de este año, los cuales se encuentran disponibles en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181 y https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

Juan Pablo Tosso, Gerente de ciberseguridad avanzada de Makros:
Bluekeep es una vulnerabilidad crítica que dada su alta explotabilidad, ha sido manejada de forma hermética en la comunidad de ciberseguridad. Pese a que desde hace ya varios meses existen POCs y documentación suficiente para elaborar exploits funcionales, el alto nivel de conocimiento técnico en ingeniería reversa necesario para aprovechar esta vulnerabilidad ha evitado que script kiddies desaten el caos en internet.
La publicación de este exploit probablemente dé inicio a la creación de nuevos ransomware y una explotación masiva a servicios públicos vulnerables, por lo tanto el parchado se debe realizar inmediatamente.

Para estos casos Makros cuenta con un servicio de gestión de vulnerabilidades proactivo, el cual apoya en la detección y la mitigación.

También es recomendable implementar el módulo Sophos Exploit Prevention, disponible para Sophos Enterprise Console. Éste módulo activa las protecciones de anti-exploit, Cryptoguard, y tecnología Clean en el agente.

Fuentes:
https://www.bleepingcomputer.com/news/security/public-bluekeep-exploit-module-released-by-metasploit/
https://blog.rapid7.com/2019/09/06/initial-metasploit-exploit-module-for-bluekeep-cve-2019-0708/
https://blog.firosolutions.com/exploits/bluekeep/
https://www.cyber.gov.au/news/acsc-confirms-public-release-bluekeep-exploit
https://nakedsecurity.sophos.com/2019/07/26/bluekeep-guides-make-imminent-public-exploit-more-likely/
https://nakedsecurity.sophos.com/2019/07/01/rdp-bluekeep-exploit-shows-why-you-really-really-need-to-patch/
https://www.computerworld.com/article/3436857/heads-up-a-free-working-exploit-for-bluekeep-just-hit.html
https://www.welivesecurity.com/la-es/2019/06/10/bluekeep-vulnerabilidad-tiene-vilo-industria-seguridad/
https://github.com/rapid7/metasploit-framework/pull/12283

Portal de Banco Central Europeo es bajado luego de ataque

El Banco Central Europeo confirmó este jueves que fue víctima de un ciberataque que involucró inyección de malware en uno de sus sitios, lo que conllevaría al robo de información de contacto de los suscriptores a las newsletter que emite esta entidad.

Con su casa central en Alemania, el Banco Central Europeo es el banco central de los 19 países de la Unión Europea que han adoptado el Euro como moneda, y a la vez es responsable de supervisar las prácticas para la protección de datos en el sistema bancario de estos países.

Continuar leyendo

Google revela vulnerabilidad de Windows presente hace 20 años

Un investigador de seguridad de google reveló detalles de una vulnerabilidad de alta severidad presente hace 20 años sin parchar en todas las versiones de Windows desde Windows XP hasta Windows 10.

El error se encuentra en la forma que los clientes MSCTF se comunican, permitiendo que un usuario con pocos privilegios o una aplicación de sandbox tenga acceso de lectura y escritura en una aplicación de nivel superior.

Continuar leyendo

Información electoral del 80% de la población en Chile son expuestos por internet

La autenticidad de los datos fue confirmada por el SERVEL

La información de poco mas de 14 millones de chilenos habilitados para votar, fue expuesta y filtrada en internet desde una base de datos de Elasticsearch.

Según ZDNet, el servidor fue hallado por un miembro del equipo de investigación Wizcase, quienes le entregaron la IP del servidor involucrado al periodista de ese medio la semana pasada, con tal de identificar la naturaleza y fuente de la filtración.

Continuar leyendo

Magecart infecta 17.000 sitios debido a la mala configuración de Buckets S3 de AWS

cyware.com

Un nuevo ataque mediante cadena de suministro fue detectado por investigadores de ciberseguridad. Los hackers especializados en tarjetas de pago atacaron a más de 17.000 dominios web, incluidos los 2.000 sitios mas visitados mediante Alexa.

Ya que Magecart no es un grupo de criminales específicos ni un malware, se les denomina a todos aquellos cibercriminales que inyectan skimmers digitales en sitios web comprometidos, sin requerir que todos utilicen técnicas ni sofisticación similares.

El reporte indica que los atacantes utilizaron un enfoque llamado “shotgun” (escopeta), en el cual atacaron un amplio rango de sitios, privilegiando la cantidad de infecciones en vez de concentrarse en objetivos específicos.

Hace unos meses, investigadores de seguridad de RiskIQ descubrieron estos ataques mediante cadena de suministro que involucraba los skimmers digitales de tarjetas de crédito. Sin embargo, luego del monitoreo constante de estas actividades, estos investigadores encontraron que el alcance real de esta campaña es mucho mayor a la reportada previamente.

Hackers de Magecart apuntaron a los repositorios AWS S3 mal configurados

Según los investigadores, desde el inicio de la campaña, este grupo de atacantes ha estado analizando continuamente los repositorios S3 de Amazon en busca de los que están mal configurados, los que permiten que cualquiera vea y edite los archivos que contiene, e inyectando de esta forma su código de skimmer al final de cada archivo JavaScript que encontraron.

Ya que los atacantes no siempre saben si estos archivos son utilizados activamente en los sitios, este método es similar a disparar en la oscuridad, esperando alcanzar algún objetivo entre los repositorios infectados. Muchos de los archivos JavaScript infectados ni siquiera tienen relación a métodos de pago.

El código inyectado tiene un ofuscamiento bastante fuerte:

Código ofuscado
Código sin ofuscar

Mientras tanto, un reporte distinto emitido por el equipo de investigación de Zscaler ThreatLabZ, entrega detalles de una campana recientemente descubierta de Magecart, en la cual los atacantes estuvieron utilizando un enfoque mas sofisticado y dirigido para robar los datos de las tarjetas de crédito de sitios de e-commerce.

De acuerdo al reporte, en vez de utilizar código de skimmer digital mediante JavaScript, el grupo fue detectado utilizando una versión muy ofuscada de su skimmer, la cual utiliza cargas encriptadas en un intento de que sea más difícil detectar cuales sitios estarían comprometidos.

Entre los ataques con Magecart mas conocidos se encuentran los casos de British Airways, Ticketmaster y Newegg. Las multas en el caso de British Airways ascienden a 183 millones de libras esterlinas.

Fuentes:
https://thehackernews.com/2019/07/magecart-amazon-s3-hacking.html
https://www.zdnet.com/article/new-magecart-attacks-leverage-misconfigured-s3-buckets-to-infect-over-17k-sites/
https://www.riskiq.com/blog/labs/magecart-amazon-s3-buckets/
https://www.helpnetsecurity.com/2019/07/11/magecart-unsecured-s3-buckets/
https://unaaldia.hispasec.com/2019/07/magecart-golpea-de-nuevo-amazon-s3-como-vector-de-ataque-contra-17-000-webs.html
https://www.wired.com/story/magecart-amazon-cloud-hacks/

Ciberataque llega hasta sala de control de la NASA

El laboratorio de propulsión a reacción (Jet Propulsion Lab, o JBL) de la NASA, es capaz de enviar cohetes con robots autómatas que desempeñen misiones de exploración en el planeta Marte, una misión de alta complejidad. Sin embargo al parecer sus medida de ciberseguridad no son tan sofisticadas.

Una revelación reciente indica que en 2018 un incidente de seguridad afectó a los sistemas de control de misión, evitando múltiples controles de seguridad TI y exponiendo sistemas y datos de la NASA.

En esa oportunidad los atacantes apuntaron a un dispositivo Raspberry Pi que estaba conectado a la red del JPL sin autorización, explotarla, y luego tomar ventaja de la falta de segmentación de la red interna para encontrar otro nodo que les permitiese ingresar a niveles más profundos de la red. Uno de los niveles afectados contiene sistemas que son utilizados en el control de misiones de vuelo espacial tripuladas por humanos.


Como resultado de este ciberataque, oficiales de seguridad TI del centro espacial Johnson, el cual maneja programas como el vehículo multipropósito Orion y la Estación Espacial Internacional, decidieron desconectar este centro de la red corporativa temporalmente.

Uno de los administradores de sistemas declaró que no ingresan regularmente los nuevos activos dentro de la base de datos de seguridad TI, debido a que la función de actualización de la base de datos a menudo no funciona y luego olvidan ingresar los datos del nuevo activo manualmente.

El impacto en la apreciación de seguridad del centro espacial Johnson fue tan significativo, que fueron aproximadamente 6 meses en los que estuvieron desconectados del DNS.

También agregaron que las vulnerabilidades, aún cuando son detectadas, demoran más de 180 días en ser resueltas.

En este incidente quedan expuestas diversas fallas de seguridad que combinadas pueden conllevar a un desastre, inclusive con costo de vidas humanas. Lo que refuerza el concepto de mantener la seguridad TI en un nivel actualizado ya sea técnicamente como en procedimientos y políticas.

Fuentes:

https://hothardware.com/news/raspberry-pi-was-in-cyberattack-nasas-jpl-network

https://www.forbes.com/sites/daveywinder/2019/06/20/confirmed-nasa-has-been-hacked/#7d77764cdc62

https://www.theregister.co.uk/2019/06/19/nasa_jpl_oig_report_cybersecurity/

DHS (EEUU) urge por parchar vulnerabilidad de Windows: BlueKeep

La agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del Departamento de Seguridad de la Patria (DHS) de Estados Unidos ha emitido una alerta pública acerca de una vulnerabilidad crítica. Han comunicado explícitamente “actualizar ahora”, sumándose así a la Agencia Nacional de Seguridad (NSA) y a Microsoft en advertir los peligros de la vulnerabilidad BlueKeep (CVE-2019-0708).

Expertos de seguridad pronostican que es sólo cuestión de tiempo, unas cuantas semanas para ser más explícitos, para que los cibercriminales utilicen esta vulnerabilidad como una arma, lo que clasificaría a BlueKeep como una bomba de tiempo cuyo impacto podrían ser similar al que tuvo en su momento el aún célebre WannaCry.

La alerta del CISA confirma este peligro, indicando además de que han determinado que Windows 2000 también es vulnerable a BlueKeep, lo que aumenta la superficie de ataque potencial de un exploit de esta vulnerabilidad.


Investigaciones revelan que poco menos de un millón de máquinas visibles a internet son vulnerables a BlueKeep en el puerto 3389, sirviendo de punto de entrada a cualquier gusano que pueda infectarlos e iniciar un movimiento lateral dentro de su red interna. 

Cabe mencionar que Microsoft ha publicado parches para BlueKeep inclusive para algunos de sus sistemas operativos fuera de soporte (EOL).

BlueKeep impacta los servicios de escritorio remoto en Windows y puede ser explotado al enviar paquetes específicos al objetivo. Es posible utilizarla en un contexto de malware tipo gusano.

El sitio oficial de Microsoft relacionado con esta vulnerabilidad es https://support.microsoft.com/es-cl/help/4500705/customer-guidance-for-cve-2019-0708

Fuentes:

https://www.forbes.com/sites/daveywinder/2019/06/18/u-s-government-announces-critical-warning-for-microsoft-windows-users/#2dd952652d29

https://www.securityweek.com/dhs-issues-alert-windows-bluekeep-vulnerability

https://www.zdnet.com/article/homeland-security-weve-tested-windows-bluekeep-attack-and-it-works-so-patch-now/

NSA llama a los administradores y usuarios de Windows a instalar los parches contra la vulnerabilidad “BlueKeep”

La NSA (National Security Agency) hace un llamado con urgencia a los usuarios y administradores de windows para realizar la actualización de sistema que protege contra la vulnerabilidad “Blue Keep” CVE2019-0708, según la NSA este podría llegar a ser próximo “WannaCry” si no es tratado en este momento.
El parche para este CVE-2019-0708 fue lanzado en el mes de mayo por Microsoft, no obstante se estima que hay casi un millón de equipos vulnerables pendientes de actualización.
BlueKeep es una vulnerabilidad (CVE-2019-0708), que afecta al protocolo de escritorio remoto (RDP) utilizado para que máquinas con Windows se puedan operar a distancia a través de Internet. La vulnerabilidad es crítica y afecta a Windows 7, Windows Vista, Windows XP y a Windows Server 2008 y 2003.
La alerta de NSA es inusual y solo se produce ante casos de extrema gravedad. Hay constancia que un exploit ya está aprovechando la vulnerabilidad y se teme una campaña de ataques que resulten en una situación similar a WannaCry, un malware que también utilizó un fallo en el protocolo de escritorio remoto.
Los titulares de la institución a través de sus redes sociales oficiales han hablado sobre el delicado asunto los últimos días. Pero incluso ya publicaron una entrada en su sitio web oficial. Donde dimensionan con mayor precisión el peligro que representa:
Las advertencias recientes de Microsoft destacaron la importancia de instalar parches para solucionar una vulnerabilidad de protocolo en versiones anteriores de Windows .
Microsoft ha advertido que esta falla es potencialmente “wormable”, lo que significa que podría propagarse sin la interacción del usuario a través de Internet.
Hemos visto gusanos informáticos devastadores que causan daños en sistemas sin parches con un impacto de gran alcance, y estamos buscando motivar mayores protecciones contra esta falla.
Medidas contra BlueKeep
Junto con la instalación de los parches publicados por Microsoft, la agencia de seguridad también recomendó tomar las siguientes medidas adicionales:
Bloquear el puerto TCP 3389 en el cortafuegos, especialmente los perimetrales expuestos a Internet. Este puerto se usa en el protocolo RDP y bloqueará los intentos de establecer una conexión.Habilitar la autenticación de nivel de red. Esto mejora la seguridad, ya que requiere que los atacantes tengan credenciales válidas para realizar la autenticación de código remoto.Deshabilitar los servicios de escritorio remoto si no los necesitas. Esto ayuda a reducir la exposición a las vulnerabilidades de seguridad en general y es una buena práctica incluso sin la amenaza de BlueKeep.
Fuentes: