payhip

Prueba de Sophos demuestra los peligros de BlueKeep y porqué actualizar Windows

7/05/2019 09:00:00 a.m. 0


Prueba de Sophos demuestra los peligros de BlueKeep y porqué actualizar Windows
Esta vulnerabilidad afecta a los equipos que operan a distancia a través de una conexión a internet.



Buenos Aires, 03 de julio de 2019. Hace aproximadamente seis semanas, Microsoft dio el paso inusual de lanzar parches destinados a proteger las versiones de sus sistemas operativos que ya no reciben actualizaciones regulares y han llegado al "final de su vida útil", como Windows XP. Es algo que el gigante del software solo ha sentido la necesidad de hacer en un puñado de ocasiones, por lo que puede tomarse como una señal de que algo muy serio está sucediendo.

En este caso, algo serio fue CVE-2019-0708, una vulnerabilidad grave de RDP, que pronto se conocería mejor como BlueKeep. El RDP (Protocolo de Escritorio Remoto) es lo que permite a las personas controlar máquinas de Windows con una interfaz gráfica de usuario completa, a través de Internet. Las millones de máquinas conectadas a Internet que ejecutan RDP incluyen desde servidores alojados en la nube hasta escritorios de Windows utilizados por trabajadores remotos, y cada uno es una potencial puerta de entrada a la red local de una organización.

La vulnerabilidad “tipo gusano” BlueKeep permite el acceso no autenticado a través de RDP, brindando a los atacantes la capacidad de emitir comandos para instalar malware, modificar datos y crear nuevas cuentas de usuario. El mismo afecta a los equipos que ejecutan Windows XP, Windows 7, Windows Server 2003 y Windows Server 2008.

A raíz de varios informes que muestran que la cantidad de servidores RDP sin parchear en Internet sigue siendo muy alta- a pesar de las advertencias de expertos y agencias gubernamentales- el equipo de SophosLabs Offensive Research ha desarrollado un ataque Blue Keep con una prueba de concepto (POC), utilizando un exploit propio para explicar cómo esta vulnerabilidad sigue siendo una amenaza grave y ayudará a Sophos a aprender cómo CVE-2019-0708 puede ser explotado por criminales.

El código es demasiado peligroso para ser publicado, por lo que SophosLabs ha grabado un video que muestra que el exploit se está utilizando para obtener el control total de un sistema remoto sin autenticación
El exploit funciona completamente sin archivos, proporcionando el control total de un sistema remoto sin tener que implementar ningún malware. Tampoco requiere una sesión activa en el objetivo. El desarrollo de este exploit se produjo como resultado de un arduo proceso de ingeniería inversa del parche lanzado por Microsoft en mayo para examinar lo que estaba tratando de arreglar.

Si bien, muchos analistas de seguridad ya han publicado su propio código de prueba de concepto, éstos solo son capaces de hacer fallar Windows provocando un error de "Pantalla azul de la muerte" (BSOD). Este tipo de ataque hace que la computadora quede inutilizable hasta que se reinicie; Técnicamente es una forma de ataque de denegación de servicio.

Andrew Brandt, Investigador Principal de Sophos, dice: “El método construido por Sophos Labs no es solo DoS, después de ejecutar el código de explotación, un atacante hipotético puede iniciar un shell de comandos que aparece antes del inicio de sesión, en la pantalla de inicio de sesión de Windows. Nuestro investigador que trabajó en el desarrollo de la vulnerabilidad PoC eligió usar una técnica algo diferente a la del código PoC público.” También es un método distinto al que se usa en los PoC funcionales (es decir, explotaciones que no causan bloqueos).

“Esperamos que este video pueda convencer a las personas y organizaciones que aún no hayan parcheado BlueKeep de que realmente se trata de una amenaza grave.” El experto recomienda: “Si aún no ha actualizado sus computadoras con Windows, hágalo ahora. Creemos que es solo cuestión de tiempo antes de que alguien se aproveche de esto, y la mejor defensa que puede tener es ese parche. Además, cierre todos los firewalls  que exponen RDP a Internet abierto.”

Puede leer más sobre el exploit de SophosLabs BlueKeep en el sitio Sophos News.
###
Lea las últimas noticias y opiniones sobre seguridad en nuestro galardonado Naked Security News y en nuestro canal de noticias de Sophos News.

Acerca de Sophos
Como líder mundial en seguridad cibernética de próxima generación, Sophos protege a casi 400,000 organizaciones de todos los tamaños en más de 150 países de las amenazas cibernéticas más avanzadas de la actualidad. Desarrolladas por SophosLabs- un equipo global de inteligencia de amenazas y ciencia de datos- las soluciones nativas de la nube y mejoradas por la inteligencia artificial de Sophos aseguran endpoints (computadoras portátiles, servidores y dispositivos móviles) y redes contra la evolución de las tácticas y técnicas de ciberdelito, incluidas las violaciones automatizadas activas, ransomware, malware, exploits, exfiltración de datos, phishing y más. La galardonada plataforma basada en la nube de Sophos Central integra la cartera completa de los mejores productosde Sophos, desde la solución de endpoint Intercept X al Firewall XG, en un solo sistema llamado Seguridad Sincronizada. Los productos de Sophos están disponibles exclusivamente a través de un canal global de más de 47,000 socios y Proveedores de Servicios Gestionados (MSP). Sophos también pone a disposición de los consumidores sus tecnologías comerciales innovadoras a través de Sophos Home. La compañía tiene su sede en Oxford, U.K., y cotiza en la Bolsa de Valores de Londres bajo el símbolo "SOPH". Puede encontrar más información en www.sophos.com
Tags:

No hay comentarios.

Suscribirse a: Comentarios de la entrada ( Atom )
Imágenes del tema de enot-poloskun. Con tecnología de Blogger.