RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Posts Tagged ‘ dos ’

1. Introducción

A mediados del mes de mayo de este año, 2019, se ha reportado una nueva vulnerabilidad que afecta a los sistemas operativos Microsoft Windows 7, 2008, 2003 y XP. ̶P̶e̶r̶o̶ ̶c̶l̶a̶r̶o̶.̶.̶.̶ ̶e̶n̶ ̶n̶u̶e̶s̶t̶r̶a̶s̶ ̶e̶m̶p̶r̶e̶s̶a̶s̶ ̶y̶a̶ ̶n̶o̶ ̶u̶t̶i̶l̶i̶z̶a̶m̶o̶s̶ ̶e̶s̶t̶o̶s̶ ̶s̶i̶s̶t̶e̶m̶a̶s̶ ̶o̶p̶e̶r̶a̶t̶i̶v̶o̶s̶ ̶o̶b̶s̶o̶l̶e̶t̶o̶s̶,̶ ̶¿̶v̶e̶r̶d̶a̶d̶?̶. La vulnerabilidad recibe el código CVE-2019-0708 y es también conocido como BlueKeep.

Esta vulnerabilidad, CVE-2019-0708, es un candidato fuerte a ser considerado como una las principales vulnerabilidades del año 2019 para sistemas operativos Microsoft Windows. ̶A̶l̶ ̶i̶g̶u̶a̶l̶ ̶q̶u̶e̶ ̶l̶o̶ ̶f̶u̶e̶ ̶e̶l̶ ̶M̶S̶1̶7̶-̶0̶1̶0̶ ̶E̶t̶e̶r̶n̶a̶l̶B̶l̶u̶e̶.̶ ̶

2. ¿Qué es CVE-2019-0708 – BlueKeep?

BlueKeep, CVE-2019-0708, es un nuevo fallo de seguridad asociado a los sistemas operativos Microsoft Windows y al servicio RDP (Remote Desktop Protocol TCP/3389) que permite a un atacante informático ejecutar código remoto en el servidor o computador que tiene el servicio de “Escritorio Remoto” y cuyo sistema operativo no ha sido actualizado.

Vamos…. para que se pueda entender, si un atacante informático se encuentra en la misma red de datos puede lanzar un exploit a tu servidor y/o computador y ejecutar código remoto en el mismo. Pero no pienses que sólo esto funciona si es que el atacante está en la misma red de datos, de hecho, puede funcionar desde cualquier punto en Internet si es que se tiene acceso al servicio de Escritorio Remoto – TCP/3389.

3. ¿Existe exposición de servicios RDP a Internet?

Aunque parezca raro ̶e̶n̶ ̶r̶e̶a̶l̶i̶d̶a̶d̶ ̶e̶s̶ ̶m̶a̶s̶ ̶c̶o̶m̶ú̶n̶ ̶d̶e̶ ̶l̶o̶ ̶q̶u̶e̶ ̶p̶e̶n̶s̶a̶m̶o̶s̶ existen organizaciones que exponen el servicio RDP a Internet sin ningún filtrado a nivel de Firewall.

Para esto nos puede ayudar nuestro querido buscador SHODAN. Para aquellos que no hayan escuchado hablar del buscador, SHODAN es un buscador que nos ayudar a identificar dispositivos de red expuestos a Internet y clasificados por países. Aquí puedes leer más sobre SHODAN: https://es.wikipedia.org/wiki/Shodan

Después de una búsqueda básico en SHODAN, hemos identificado 3274 servidores en Perú que tienen expuesto el servicio RDP a Internet. ̶A̶u̶n̶q̶u̶e̶ ̶l̶u̶e̶g̶o̶ ̶c̶o̶m̶p̶a̶r̶é̶ ̶P̶e̶r̶ú̶ ̶c̶o̶n̶t̶r̶a̶ ̶C̶o̶l̶o̶m̶b̶i̶a̶ ̶y̶ ̶y̶a̶ ̶n̶o̶ ̶m̶e̶ ̶s̶e̶n̶t̶í̶ ̶t̶a̶n̶ ̶m̶a̶l̶

image

image

4. ¿Cómo se si mi empresa se encuentra expuesta a BlueKeep?

Aunque la vulnerabilidad es muy nueva y ha sido identificada hace menos de un (01) mes, ya es posible identificar de manera automatizada si nuestros servidores y/o computadores son vulnerables a BlueKeep.

Existen muchos mecanismos de identificación y hoy voy a mostrar dos de ellos:

A. Tenable Nessus (https://www.tenable.com/downloads/nessus)

Si cuentas con el software para escanear vulnerabilidades Tenable Nessus, es posible que al realizar tu escaneo periódico identifiques esta nueva vulnerabilidad.

Para aquellos que quieren identificar la vulnerabilidad de BlueKeep puedes identificar el plugin asociada a dicha vulnerabilidad en la categoría: Microsoft Windows Bulletins.

image

B. Metasploit Framework (https://www.metasploit.com/)

Si eres de los que les gusta lanzar comandos puedes utilizar METASPLOIT para identificar la vulnerabilidad de BlueKeep. Ten presente que como la vulnerabilidad es nueva, tienes que actualizar el repositorio y módulos de la herramienta.

De manera específica se ha creado un módulo AUXILIAR para la identificación de la vulnerabilidad.

Si quieres identificar la vulnerabilidad en un segmento de red esta es tu mejor opción, puedes lograr identificar la vulnerabilidad en un segmento de red de manera rápida en sólo unos minutos.

image

5. Exploits en Internet

La última semana de mayo de 2019 empezaron a pulular en Internet pruebas de concepto (PoC) sobre la vulnerabilidad BlueKeep y aunque algunos tenían videos a modo de demostración del funcionamiento del exploit gran parte de ellos eran FAKES. Algunos hasta te pedían algún dinero de depósito previo para poder enviarte el exploit que mostraban en el video, lo cierto es que no era una buena idea pagar por estos exploits ya que sólo era cuestión de tiempo para que el exploit se haga público ya que es una vulnerabilidad conocida. ̶O̶j̶a̶l̶a̶ ̶n̶o̶ ̶h̶a̶y̶a̶n̶ ̶d̶e̶p̶o̶s̶i̶t̶a̶d̶o̶ ̶y̶ ̶l̶o̶s̶ ̶h̶a̶y̶a̶n̶ ̶e̶s̶t̶a̶f̶a̶d̶o̶.̶

El 30 de mayo han publicado un exploit en el portal de EXPLOIT-DB, lo he descargado, probado y está totalmente funcional. El exploit logra generar ejecutar código remoto a través del protocolo RDP y genera una DoS (Denied of Service) logrando reiniciar el servidor.

El exploit lo puedes descargar desde aquí: https://www.exploit-db.com/exploits/46946

image

6. Tiempo de la Demostración

Bueno, ahora que ya explicamos que es BlueKeep, como funciona y como podría identificarlo. vamos a ejecutar una demostración breve de cómo podría identificar si tu organización se encuentra expuesta a esta vulnerabilidad.

El video lo pueden ver aquí: https://youtu.be/J1yjb118Jwc

7. ¿Cómo protejo mi organización de este ataque?

1. Si el sistema operativo Microsoft del servidor/computador aún tiene soporte, se deben aplicar las actualizaciones sobre el mismo lo antes posible.

2. Si, por otro lado, el sistema operativo ya no cuenta con soporte oficial, Microsoft ha sacado un parche especial para esta vulnerabilidad así que puedes instalar el parche desde la siguiente dirección URL:

https://blogs.technet.microsoft.com/msrc/2019/05/30/a-reminder-to-update-your-systems-to-prevent-a-worm/

3. Se recomienda aplicar regalas a nivel de Firewall local o de red que no permitan el acceso al protocolo RDP a través del puerto TCP/3389 para cualquier dispositivo, se recomienda restringir el acceso a segmentos debidamente autorizados.

4. Si tienes publicado el protocolo RDP hacia Internet para el uso de algún servicio, se recomienda utilizar otros mecanismos de conexión remota, por ejemplo, a través de una VPN. No expongas el protocolo RDP a Internet.

5. Finalmente, si cuentas con soluciones avanzadas del tipo IPS/IDS, actualiza las firmas del dispositivo a fin de que puedan detectar los ataques del tipo BlueKeep.

Popularity: 2% [?]