martes, 4 de junio de 2019

BlueKeep, lo último en riesgos de seguridad informática

Qué rollo panoshones, como todas las semanas les traigo su tan gustada sexxxión de martes tecnológico.


El día de hoy les traigo uno de los últimos exploits que han salido para los sistemas operativos de Microsoft. Por allá de mediados de mayo, el día 14 para ser exactos. La empresa de Redmond publicaba una entrada en su blog donde menciona que existe un nuevo gusano que afecta a todos sus SO desde Windows XP hasta Windows 10. Esto según la propia Microsoft puede provocar una nueva epidemia de WannaCry. ¿Recuerdan en 2017 cuando Telefónica España, varios hospitales de Reino Unido y sobre todo países donde las PyMES son mayoría sufrieron un ataque masivo de este ransomware que pedía bitcoins a cambio de descifrar el contenido de los discos duros afectados?

Foto: Pankaj Patel
Uno de los países más afectados y que aun en este año sigue sufriendo secuelas es México, por la sencilla razón de la mala cultura respecto a la tecnología (léase pirateo de software), donde pasamos por alto medidas de seguridad básicas con tal de ahorrarnos unos cuantos pesos en una puta licencia.

En fin, el punto es que BlueKeep, este nuevo exploit que menciona MS en su reporte es tan grave que la empresa decidió desarrollar un parche de seguridad que se aplica incluso en Windows XP cuando este sistema operativo dejó de recibir soporte hace 5 años, por lo que debemos suponer que la cosa es seria.

A lo que se refiere el pocs. Este exploit afecta directamente a la Conexión de Escritorio Remoto (RDP) antes conocida como Terminal Services, Microsoft describe a este exploit como tipo gusano pues tiene la capacidad de generar copias de sí mismo y no solo eso sino que además el atacante puede alcanzar privilegios de administrador en el equipo aunque el malware haya tenido acceso a través de un usuario sin privilegios. Eso no es todo pues una vez entrando en una máquina desprotegida comienza a copiarse en el resto de equipos dentro de la misma red.

Foto: Nahel Abdul Hadi
Viene la parte interesante, Microsoft el día que hizo el anuncio liberó el parche de seguridad para corregir la vulnerabilidad en sus sistemas, sin embargo pruebas y estudios posteriores han demostrado que eso es insuficiente pues han logrado tener acceso a usuarios privilegios en sistemas ya protegidos por la actualización por lo que MS sigue trabajando en crear otro parche para complementar el primero que sirve de muy poco.

Lo malo: En todo el mundo hay alrededor de un millón de equipos vulnerables y si los atacantes sacan provecho de esto, puede provocar un escenario peor que el de hace dos años.

Lo bueno: que además de que se sigue trabajando en la actualización del sistema se requiere de un muy avanzado conocimiento de hacking para poder explotar al cien las características del malware en cuestión.

Lo feo: El puto del fatboni.

Soluciones proactivas y preventivas:
  • Como es un malware que ataca ciertos puertos en específico es muy sencillo poder evitar la propagación directa cerrando los puertos de RDP si el equipo no utilza esta tecnología.
  • Si la empresa o el equipo en cuestión sí utiliza esta tecnología una solución es utilizar únicamente una VPN entre el cliente y el servidor y aislar el equipo del resto del internet.
  • Otra opción, la más cara de todas es cambiar la tecnología y utilizar los servicios de Citrix o VMware, pero claro, en las empresas esta no es una cuestión baladí por la inversión que representa.

Aquí los zeldas de colores si quieren ler más:

Su shile cibernético, hackermon