Personal técnico también utiliza el “Escritorio
Remoto” para dar soporte a usuarios y prestar un mejor servicio. Dada la
prevalencia de esta utilidad, se ha convertido en blanco preferido de internautas
con malas intenciones.
El “Escritorio Remoto” usa un protocolo llamado RDP o “Remote Desktop Protocol” por sus siglas en inglés. RDP usa TCP como su protocolo de transporte, y el puerto 3389. La presencia de este puerto en la red externa (la que conecta una red a Internet) indica usualmente la presencia de un computador que permite administración remota.
Muchos administradores de sistemas piensan que la combinación de una clave fuerte y un usuario es protección suficiente para acceder a un sistema desde Internet. Sin embargo, esta vulnerabilidad (CVE-2019-0708) y muchas otras del pasado demuestran que este no es el caso.
Una característica de esta vulnerabilidad que la hace muy peligrosa es su fácil propagación. Esto es llamado en inglés “Wormable” que quiere decir que la vulnerabilidad puede pasar de un computador a otro. Este comportamiento es muy similar al dañino “WannaCry” que sacudió al mundo informático en el 2017.
Aunque el protocolo RDP no es vulnerable en si, la vulnerabilidad no requiere acción del usuario. Esto y su fácil propagación la convierte de alta criticidad porque una infección en un equipo puede contagiar redes enteras en pocas horas. Por esta razón, se recomienda que los equipos afectados se actualicen lo antes posible.
Esta vulnerabilidad afecta diferentes versiones del sistema operativo Windows:
El “Escritorio Remoto” usa un protocolo llamado RDP o “Remote Desktop Protocol” por sus siglas en inglés. RDP usa TCP como su protocolo de transporte, y el puerto 3389. La presencia de este puerto en la red externa (la que conecta una red a Internet) indica usualmente la presencia de un computador que permite administración remota.
Muchos administradores de sistemas piensan que la combinación de una clave fuerte y un usuario es protección suficiente para acceder a un sistema desde Internet. Sin embargo, esta vulnerabilidad (CVE-2019-0708) y muchas otras del pasado demuestran que este no es el caso.
Una característica de esta vulnerabilidad que la hace muy peligrosa es su fácil propagación. Esto es llamado en inglés “Wormable” que quiere decir que la vulnerabilidad puede pasar de un computador a otro. Este comportamiento es muy similar al dañino “WannaCry” que sacudió al mundo informático en el 2017.
Aunque el protocolo RDP no es vulnerable en si, la vulnerabilidad no requiere acción del usuario. Esto y su fácil propagación la convierte de alta criticidad porque una infección en un equipo puede contagiar redes enteras en pocas horas. Por esta razón, se recomienda que los equipos afectados se actualicen lo antes posible.
Esta vulnerabilidad afecta diferentes versiones del sistema operativo Windows:
-
Windows 7.
-
Windows Server 2008 R2.
-
Windows Server 2008.
-
Windows XP y Windows Server
2003.
Como se puede observar estas son versiones
viejas, y en el caso de XP y 2003 sin soporte.
Por fortuna, Microsoft
ha liberado una actualización que mitiga esta vulnerabilidad. A pesar que Microsoft
no soporta XP y 2003, estas versiones también pueden ser actualizadas.
Mientras los sistemas afectados reciben la
actualización de software, hay dos pasos que todo administrador debe efectuar
para minimizar los efectos de esta vulnerabilidad y una posible explotación.
Primero, mitigar la capacidad de propagación utilizando
lo que es conocido como nivel de autenticación de red (Network Level
Authentication, NLA). NLA obliga a validar la clave y el usuario antes de que
la vulnerabilidad pueda ser explotada. Sin embargo, los sistemas seguirán siendo
vulnerables a la ejecución de código no autorizado. Es decir, si el computador
se contamina, un actor malicioso puede tomar control del mismo sin que usuarios
legítimos se den cuenta.
Segundo, deshabilitar RDP en el firewall perimetral.
Esta recomendación es básica, pero desafortunadamente muchas organizaciones,
especialmente pequeñas, mantienen este servicio en Internet sin ninguna protección. Bloquear TCP 3389 en el firewall ayuda a proteger
a todos los sistemas que están en la red interna de la organización. Este
bloqueo limita fuertemente la acción de actores maliciosos que realizan ataques
desde Internet. Sin embargo, la protección perimetral del firewall no ofrece
ninguna defensa contra ataques internos.
Es muy posible que aquellas organizaciones que
permiten conexiones directas desde Internet a sus equipos usando “Escritorio
Remoto” carezcan de la experiencia y los medios tecnológicos para detectar
actividades no autorizadas. Esta
vulnerabilidad hace tal detección aún más difícil.
Los métodos recomendados para limitar los efectos
de la vulnerabilidad son bien conocidos, especialmente el limitar la exposición
externa de servicios internos. En muchas ocasiones los avisos sobre
vulnerabilidades y las posibles consecuencias son exageradas; pero este no es
uno de esos casos.
Esta vulnerabilidad y
otras como Zombieload
recuerdan una vez que las organizaciones y los administradores de sistemas
deben mantener prácticas mínimas de seguridad.