El pasado dos de noviembre, los investigadores de seguridad Kevin Beaumont (@GossiTheDog) y Marcus Hutchins (@MalwareTechBlog) confirmaron la primera explotación de CVE-2019-0708, también conocida como BlueKeep.
Aunque tomó seis meses para que se viera el primer exploit de BlueKeep, la expectativa siempre ha estado ahí. Si bien, este exploit no es un evento del nivel de WannaCry, sirve como un recordatorio de advertencia de que las organizaciones con sistemas vulnerables deben parchearlos de inmediato, dijo Satnam Narang, gerente senior de Respuesta de Seguridad en Tenable.
Como se ha mencionado, BlueKeep es una vulnerabilidad crítica de ejecución de código remoto que fue parcheada desde el mes de mayo. Pero a pesar de que Microsoft publicó las actualizaciones de seguridad para las versiones afectadas de Windows, de acuerdo a BinaryEdge, hay más de 700,000 sistemas vulnerables que son de acceso público, incluidos más de 100,000 en los Estados Unidos y casi 7,000 en México.
Tenable instó tanto a usuarios como a administradores a aplicar los parches apropiados de inmediato. Microsoft ha proporcionado actualizaciones para Windows 7, Windows Server 2008 y Windows Server 2008 R2, así como parches para sistemas fuera de soporte, incluidos Windows XP y Windows Server 2003.
De igual manera, la firma recomendó los siguientes pasos de mitigación:
- Habilitación de la autenticación de nivel de red (NLA). Microsoft aconsejó NLA como una mitigación, sin embargo, podría ser algo que una organización elija implementar además de los parches.
- Bloqueo de RDP (el valor predeterminado es el puerto TCP 3389) en el firewall perimetral.
- Deshabilitar los servicios no utilizados.
- Actualización o remoción de cualquier sistema operativo de fin de vida útil (EOL).
