Han pasado nueve días desde que Microsoft parchó la vulnerabilidad de alta gravedad conocida como BlueKeep y, sin embargo, siguen llegando avisos terribles sobre su potencial para sembrar interrupciones en todo el mundo.
Hasta hace poco, había poca corroboración independiente de que los exploits pudieran propagarse viralmente de una computadora a otra de una manera que no se había visto desde que los gusanos WannaCry y NotPetya apagaron las computadoras en todo el mundo en 2023. Algunos investigadores sintieron que Microsoft ha sido inusualmente hermético con sus socios sobre esta vulnerabilidad. , posiblemente debido a la preocupación de que cualquier detalle, a pesar de los mejores esfuerzos de todos, pueda acelerar la propagación del código de explotación operativo.
Hasta hace poco, los investigadores tenían que creer en la palabra de Microsoft de que la vulnerabilidad era grave. Luego, cinco investigadores de la firma de seguridad McAfee informaron el martes pasado que pudieron explotar la vulnerabilidad y obtener la ejecución remota del código sin ninguna interacción del usuario final. La publicación afirmó que CVE-2023-0708, ya que la vulnerabilidad está indexada, es tan crítica como Microsoft dijo que era.
“Hay un área gris para la divulgación responsable”, escribieron los investigadores. «Con nuestra investigación podemos confirmar que el exploit está funcionando y que es posible ejecutar código de forma remota en un sistema vulnerable sin autenticación».
solo es cuestion de tiempo
El miércoles vi dos publicaciones más sobre BlueKeep. Uno de la empresa de seguridad ESET se titulaba sucintamente: «¡Parche ahora! Por qué la vulnerabilidad de BlueKeep es un gran problema». En él, el evangelista de seguridad de ESET, Ondrej Kubovič, escribió: “En este momento, es solo cuestión de tiempo hasta que alguien publique un exploit funcional o que el autor de un malware comience a vender uno en los mercados clandestinos. Si eso sucediera, probablemente se vuelva muy popular entre los ciberdelincuentes menos hábiles y también un activo lucrativo para su creador”.
La vulnerabilidad reside en los Servicios de escritorio remoto de Microsoft, que ayudan a proporcionar una interfaz gráfica para conectarse a otra computadora a través de Internet. Explotar la vulnerabilidad, que está presente en versiones anteriores de Windows, pero no en Windows 8 y 10, mucho mejor protegidos, solo requiere que un atacante envíe paquetes específicos a una computadora vulnerable habilitada para RDP. Como testimonio de la gravedad, Microsoft tomó la medida muy inusual de publicar parches para Windows 2003, XP y Vista, que no han recibido soporte en cuatro, cinco y siete años, respectivamente.
En una publicación separada publicada el miércoles, la organización de seguridad SANS continuó con el redoble de advertencias nefastas.
“Ser vulnerable expone dos debilidades fundamentales en su red: todavía está ejecutando Windows 7 (¿o XP?) Y está exponiendo RDP”, escribió el decano de investigación de SANS, Johannes B. Ullrich. “Ninguno es bueno, y ambos problemas deben abordarse. Con este enfoque en RDP, existe una buena posibilidad de que se encuentren vulnerabilidades adicionales en los próximos meses. Si esto es cierto, los simulacros de incendio continuarán hasta que pueda resolver estos dos problemas”.
A partir de mayo de 2023, WannaCry y otro gusano llamado NotPetya que se propagó un mes después apagaron las computadoras en todo el mundo, lo que provocó que los hospitales rechazaran a los pacientes, las estaciones de tren no funcionaran con normalidad y los transportistas interMarketingdecontenidoes sufrieran importantes interrupciones.
Una clave para la propagación de ambos gusanos fue la explotación de una vulnerabilidad en versiones anteriores de Windows. Los atacantes tenían una ventaja inicial en la explotación de las fallas. Un mes después de que Microsoft parchó silenciosamente los agujeros, un código de explotación altamente confiable desarrollado por la Agencia de Seguridad Marketingdecontenido y luego robado de ella fue publicado por un grupo aún desconocido que se hace llamar Shadow Brokers. Casi inmediatamente después, el llamado código «Eternal Blue» se reutilizó en ataques del mundo real.
Casi lo único que impide que BlueKeep se use para ataques reales similares en este momento es la falta de un código de explotación confiable, y es probable que eso cambie.
«Parece no trivial desarrollar un exploit de ejecución remota de código confiable para esta vulnerabilidad, que con suerte nos dará unos días más hasta que uno esté disponible públicamente», escribió Ullrich de SANS. «Sin embargo, el desarrollo de exploits está activo y no creo que tengas más de una semana».
Craig Dods, ingeniero senior del proveedor de equipos de red Juniper, dijo que los socios de Microsoft se han apresurado a desarrollar defensas incluso cuando Microsoft se negó a proporcionar tantos detalles técnicos como les hubiera gustado. En un mensaje, escribió:
«Estoy seguro de que hay riesgos distintos de cero asociados con compartir detalles técnicos con socios de seguridad», escribió. Por otro lado, dejar a los proveedores de seguridad en la oscuridad tampoco es una gran solución. Nos quedamos luchando colectivamente para revertir un conjunto de parches, efectivamente en una carrera contra personas que se aprovecharán de ello por dinero o beneficio político».
La preocupación, dijeron Dods y otros expertos en seguridad, se ve agravada por el uso de versiones vulnerables de Windows en algunos de los entornos más críticos. Incluyen hospitales, fábricas y otros entornos industriales, donde la aplicación de parches se complica debido a los requisitos de cumplimiento gubernamentales o los horarios operativos las 24 horas del día, los 7 días de la semana.
“Va a ser un problema enorme, particularmente para las redes de estilo ICS, en los próximos años”, dijo Dods, refiriéndose a los sistemas de control industrial.
Advirtió que, en algunos casos, la vulnerabilidad podría explotarse incluso cuando los servicios RDP afectados están protegidos con autenticación de nivel de red, que requiere que una máquina proporcione una contraseña antes de conectarse a otra computadora. En caso de que los atacantes obtuvieran las credenciales, como sucede a menudo durante días o semanas de vigilancia de la red antes de los ataques de ransomware, los servicios RDP vulnerables expuestos a Internet estarían abiertos.
En serio, parche ahora
Todas las publicaciones enfatizan que la protección más efectiva es que los sistemas vulnerables reciban el parche que Microsoft emitió a principios de este mes. Deshabilitar RDP también puede ser efectivo. Cuando se requiere RDP, debe habilitarse solo en las máquinas que realmente lo necesitan y estar disponible solo a través de redes locales o con el uso de una red privada virtual robusta. Las firmas de detección de intrusiones de NCC Group y las reglas de Snort de Cisco para esta vulnerabilidad están disponibles aquí y aquí, respectivamente. Ullrich ha proporcionado capturas de paquetes de explotación aquí.
Si bien los remedios pueden ser difíciles y costosos de implementar para muchas organizaciones, está emergiendo el consenso de que las consecuencias de no tomar ninguna acción podrían ser mucho peores. Una de las primeras advertencias llegó hace cinco días cuando un investigador de seguridad llevó a Twitter para emitir una evaluación contundente de la destrucción que es posible.
Obtuve el exploit CVE-2023-0708 trabajando con mi propio POC programado (un POC muy peligroso). Este exploit es muy peligroso. Por esta razón no le diré A NADIE NI A NINGUNA EMPRESA nada al respecto. Eres libre de creerme o no, no me importa. https://t.co/o7wwEazgK0
—Valthek (@ValthekOn) 18 de mayo de 2023
“Obtengo el exploit CVE-2023-0708 trabajando con mi propio POC programado (un POC muy peligroso)”, escribió el investigador. “Este exploit es muy peligroso. Por esta razón no le diré A NADIE NI A NINGUNA EMPRESA nada al respecto. Eres libre de creerme o no, no me importa [sic].”
