Vulnerabilidad en Escritorio Remoto de Windows (CVE-2019-0708)

El “Escritorio Remoto” de Windows es una de las funciones más utilizadas del sistema operativo. Esta utilidad permite a los administradores de sistemas acceder de manera remota a servidores y realizar cambios en las configuraciones sin estar físicamente presentes. 

Personal técnico también utiliza el “Escritorio Remoto” para dar soporte a usuarios y prestar un mejor servicio. Dada la prevalencia de esta utilidad, se ha convertido en blanco preferido de internautas con malas intenciones.

 El “Escritorio Remoto” usa un protocolo llamado RDP o “Remote Desktop Protocol” por sus siglas en inglés. RDP usa TCP como su protocolo de transporte, y el puerto 3389. La presencia de este puerto en la red externa (la que conecta una red a Internet) indica usualmente la presencia de un computador que permite administración remota. 

Muchos administradores de sistemas piensan que la combinación de una clave fuerte y un usuario es protección suficiente para acceder a un sistema desde Internet. Sin embargo, esta vulnerabilidad (CVE-2019-0708) y muchas otras del pasado demuestran que este no es el caso. 

Una característica de esta vulnerabilidad que la hace muy peligrosa es su fácil propagación. Esto es llamado en inglés “Wormable” que quiere decir que la vulnerabilidad puede pasar de un computador a otro. Este comportamiento es muy similar al dañino “WannaCry” que sacudió al mundo informático en el 2017. 

Aunque el protocolo RDP no es vulnerable en si, la vulnerabilidad no requiere acción del usuario. Esto y su fácil propagación la convierte de alta criticidad porque una infección en un equipo puede contagiar redes enteras en pocas horas. Por esta razón, se recomienda que los equipos afectados se actualicen lo antes posible.

Esta vulnerabilidad afecta diferentes versiones del sistema operativo Windows:

-       Windows 7.

-       Windows Server 2008 R2.

-       Windows Server 2008.

-       Windows XP y Windows Server 2003.

Como se puede observar estas son versiones viejas, y en el caso de XP y 2003 sin soporte.  Por fortuna, Microsoft ha liberado una actualización que mitiga esta vulnerabilidad. A pesar que Microsoft no soporta XP y 2003, estas versiones también pueden ser actualizadas. 

Mientras los sistemas afectados reciben la actualización de software, hay dos pasos que todo administrador debe efectuar para minimizar los efectos de esta vulnerabilidad y una posible explotación.

Primero, mitigar la capacidad de propagación utilizando lo que es conocido como nivel de autenticación de red (Network Level Authentication, NLA). NLA obliga a validar la clave y el usuario antes de que la vulnerabilidad pueda ser explotada. Sin embargo, los sistemas seguirán siendo vulnerables a la ejecución de código no autorizado. Es decir, si el computador se contamina, un actor malicioso puede tomar control del mismo sin que usuarios legítimos se den cuenta.

 

Segundo, deshabilitar RDP en el firewall perimetral. Esta recomendación es básica, pero desafortunadamente muchas organizaciones, especialmente pequeñas, mantienen este servicio en Internet sin ninguna protección. Bloquear TCP 3389 en el firewall ayuda a proteger a todos los sistemas que están en la red interna de la organización. Este bloqueo limita fuertemente la acción de actores maliciosos que realizan ataques desde Internet. Sin embargo, la protección perimetral del firewall no ofrece ninguna defensa contra ataques internos. 

Es muy posible que aquellas organizaciones que permiten conexiones directas desde Internet a sus equipos usando “Escritorio Remoto” carezcan de la experiencia y los medios tecnológicos para detectar actividades no autorizadas.  Esta vulnerabilidad hace tal detección aún más difícil.

Los métodos recomendados para limitar los efectos de la vulnerabilidad son bien conocidos, especialmente el limitar la exposición externa de servicios internos. En muchas ocasiones los avisos sobre vulnerabilidades y las posibles consecuencias son exageradas; pero este no es uno de esos casos. 

Esta vulnerabilidad y otras como Zombieload recuerdan una vez que las organizaciones y los administradores de sistemas deben mantener prácticas mínimas de seguridad.

El cambio de modelo financiero de la nube

La discusión sobre los beneficios de la nube y si debe o no migrarse ya fue resuelta. Hoy las organizaciones no deben estar preguntándose si deben migrar su infraestructura, o parte de ella, sino que funciones deben estar en la nube.  

En algunos casos, no hay alternativa. Por ejemplo, no tiene mucho sentido financiero para una pequeña o incluso mediana empresa tener varios servidores o un gran centro de cómputo en sus instalaciones. El costo de energía, protección física, software y demás puede ser prohibitivo.  

Un análisis financiero juicioso que incluya el costo de utilización de servidores y aplicaciones, soporte técnico de la infraestructura y la continua actualización de software inclinan la balanza a favor del uso de soluciones localizadas en la nube.  

Pero aún sin realizar ese análisis, la tendencia es a ofrecer soluciones finales que ya están localizadas en la nube. Por ejemplo, la aplicación empresarial más común es mensajería y comunicación electrónica. Desde hace varios años Google ofrece soluciones de correo electrónico, comunicación y manejo de documentos que no requieren de servidores locales. Microsoft con su O365 ofrece una solución similar y posiblemente más adecuada para grandes empresas.  

Adicionalmente, varios paquetes de procesamiento pesado de análisis de datos y datawarehouse solo existen en la nube. No hay opciones de procesamiento local porque comprar un servidor con 20 o 30 procesadores multinúcleo no es rentable. En este caso, el cliente no tiene otra opción que usar una solución de software en la nube. 

En este caso el modelo de negocio cambia. Adiós a la gran inversión inicial de equipos y licenciamiento de software.    El usuario paga una suma mensual y nunca es dueño del software. Es cierto que siempre se estará pagando una mensualidad, pero al mismo tiempo el cliente no es responsable de las actualizaciones y soporte de la infraestructura física y lógica.    

Esto representa ahorros de energía y personal de soporte. A pesar de estos ahorros, un nuevo tipo de personal técnico con diferentes capacidades es necesario.  Las empresas ahora demandan personal con experiencia en soluciones en la nube (o cloud computing), pero por el momento este personal es escaso. 

Los nuevos retos incluyen la contratación de personal más costoso, o la preparación de personal actual. No existe una respuesta única para cada situación, y los ejecutivos deberán adaptar su organización a estos cambios.  

Este acercamiento es un cambio de paradigma que aún muchos no aceptan, pero es irreversible. Para las empresas que no pagan por software, en otras palabras, que usan software pirata, esta nueva realidad les obliga a replantear sus obligaciones financieras que antes evitaban.