Fuentes del sector TI advierten sobre un exploit (porción de código que aprovecha deficiencias en programas para ejecutar comandos de forma externa) denominado “BlueKeep” que se beneficia de una falla en equipos con Windows sin actualizar. Aunque Microsoft ya lanzó un parche que corrige el error, si no se realiza la actualización, el exploit podría permitir a un atacante distribuir malware entre equipos vulnerables, similar a la forma en que se distribuyó WannaCry en 2017.

“Con la instalación del parche que lanzó Microsoft, los equipos dejan de ser vulnerables para esta falla. Igualmente, si analizamos lo que pasó con WannaCry, donde Microsoft lanzó el parche tiempo antes de que se produzca el brote, la realidad indica que pese a la alerta emitida y el llamado a actualizar, probablemente varios equipos que utilicen este sistema no serán actualizados”, afirmó Camilo Gutiérrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Un informe publicado por Forescout reveló que en Estados Unidos, el 71% de las computadoras que operan en las grandes instituciones médicas de aquel país utilizarán sistemas operativos que quedarán sin soporte de actualizaciones para el próximo 14 de enero de 2020. Esto es así debido a que Microsoft anunció que dejará de lanzar actualizaciones de seguridad de manera gratuita para Windows 7 como forma de impulsar a que los usuarios se actualicen a versiones más nuevas y seguras de su sistema operativo.

“Es importante dimensionar la magnitud de esta decisión. Por ejemplo, si una falla critica como el recientemente descubierto, que afecta a viejas versiones de Windows que siguen siendo muy utilizadas, ocurriera posterior a esa fecha, las consecuencias podrían ser muy serias”, concluyó Gutiérrez.

Recomendaciones

Al respecto, la empresa ESET difundió los siguientes consejos para organizaciones y usuarios:

Parchar. Si se ejecuta una versión compatible de Windows, actualizarla a la última versión. Si es posible, habilitar las actualizaciones automáticas. Si se continúa utilizando Windows XP o Windows Server 2003 no compatibles, por el motivo que sea, descargar y aplicar los parches lo antes posible.

• Deshabilitar el protocolo de escritorio remoto. A pesar de que RDP no es vulnerable, Microsoft recomienda a las organizaciones deshabilitarlo hasta que se hayan aplicado los últimos parches. Además, para minimizar la superficie de ataque, RDP sólo debe habilitarse en dispositivos donde realmente se usa y necesita.

• Configurar RDP correctamente. Si una organización debe utilizar RDP, evitar exponerlo a la Internet pública. Solo los dispositivos en la LAN, o que acceden a través de una VPN, deben poder establecer una sesión remota. Otra opción es filtrar el acceso RDP utilizando un firewall, que incluye solo un rango de IP específico. La seguridad de las sesiones remotas puede mejorarse aún más mediante el uso de la autenticación multifactor.

• Habilitar la autenticación de nivel de red (NLA). BlueKeep se puede mitigar parcialmente al tener habilitado el NLA (por las siglas en inglés de Autenticación a nivel de red), ya que requiere que el usuario se autentique antes de que se establezca una sesión remota y la falla se puede utilizar incorrectamente. Sin embargo, como agrega Microsoft, “los sistemas afectados aún son vulnerables a la explotación de ejecución remota de código (RCE – Remote Code Execution) si el atacante tiene credenciales válidas que se pueden usar para autenticar con éxito”.

• Utilice una solución de seguridad confiable de múltiples capas que pueda detectar y mitigar los ataques que explotan la falla en el nivel de red.

Si bien los usuarios de Windows 7, Windows Server 2008 R2, y Windows Server 2008 que tengan actualizaciones automáticas ya están protegidos, Microsoft lanzó actualizaciones especiales para sistemas que también son vulnerables a BlueKeep y para los cuales la compañía ya no ofrece soporte, como son Windows XP y Windows Server 20013. Los parches para estos últimos sistemas pueden descargarse desde este enlace.