lunes, 20 de mayo de 2019

Vulnerabilidad en Escritorio Remoto de Windows (CVE-2019-0708)

El “Escritorio Remoto” de Windows es una de las funciones más utilizadas del sistema operativo. Esta utilidad permite a los administradores de sistemas acceder de manera remota a servidores y realizar cambios en las configuraciones sin estar físicamente presentes. 

Personal técnico también utiliza el “Escritorio Remoto” para dar soporte a usuarios y prestar un mejor servicio. Dada la prevalencia de esta utilidad, se ha convertido en blanco preferido de internautas con malas intenciones.

 El “Escritorio Remoto” usa un protocolo llamado RDP o “Remote Desktop Protocol” por sus siglas en inglés. RDP usa TCP como su protocolo de transporte, y el puerto 3389. La presencia de este puerto en la red externa (la que conecta una red a Internet) indica usualmente la presencia de un computador que permite administración remota. 

Muchos administradores de sistemas piensan que la combinación de una clave fuerte y un usuario es protección suficiente para acceder a un sistema desde Internet. Sin embargo, esta vulnerabilidad (CVE-2019-0708) y muchas otras del pasado demuestran que este no es el caso. 

Una característica de esta vulnerabilidad que la hace muy peligrosa es su fácil propagación. Esto es llamado en inglés “Wormable” que quiere decir que la vulnerabilidad puede pasar de un computador a otro. Este comportamiento es muy similar al dañino “WannaCry” que sacudió al mundo informático en el 2017. 

Aunque el protocolo RDP no es vulnerable en si, la vulnerabilidad no requiere acción del usuario. Esto y su fácil propagación la convierte de alta criticidad porque una infección en un equipo puede contagiar redes enteras en pocas horas. Por esta razón, se recomienda que los equipos afectados se actualicen lo antes posible.

Esta vulnerabilidad afecta diferentes versiones del sistema operativo Windows:
-       Windows 7.
-       Windows Server 2008 R2.
-       Windows Server 2008.
-       Windows XP y Windows Server 2003.

Como se puede observar estas son versiones viejas, y en el caso de XP y 2003 sin soporte.  Por fortuna, Microsoft ha liberado una actualización que mitiga esta vulnerabilidad. A pesar que Microsoft no soporta XP y 2003, estas versiones también pueden ser actualizadas. 
Mientras los sistemas afectados reciben la actualización de software, hay dos pasos que todo administrador debe efectuar para minimizar los efectos de esta vulnerabilidad y una posible explotación.

Primero, mitigar la capacidad de propagación utilizando lo que es conocido como nivel de autenticación de red (Network Level Authentication, NLA). NLA obliga a validar la clave y el usuario antes de que la vulnerabilidad pueda ser explotada. Sin embargo, los sistemas seguirán siendo vulnerables a la ejecución de código no autorizado. Es decir, si el computador se contamina, un actor malicioso puede tomar control del mismo sin que usuarios legítimos se den cuenta.
 
Segundo, deshabilitar RDP en el firewall perimetral. Esta recomendación es básica, pero desafortunadamente muchas organizaciones, especialmente pequeñas, mantienen este servicio en Internet sin ninguna protección. Bloquear TCP 3389 en el firewall ayuda a proteger a todos los sistemas que están en la red interna de la organización. Este bloqueo limita fuertemente la acción de actores maliciosos que realizan ataques desde Internet. Sin embargo, la protección perimetral del firewall no ofrece ninguna defensa contra ataques internos. 

Es muy posible que aquellas organizaciones que permiten conexiones directas desde Internet a sus equipos usando “Escritorio Remoto” carezcan de la experiencia y los medios tecnológicos para detectar actividades no autorizadas.  Esta vulnerabilidad hace tal detección aún más difícil.

Los métodos recomendados para limitar los efectos de la vulnerabilidad son bien conocidos, especialmente el limitar la exposición externa de servicios internos. En muchas ocasiones los avisos sobre vulnerabilidades y las posibles consecuencias son exageradas; pero este no es uno de esos casos. 

Esta vulnerabilidad y otras como Zombieload recuerdan una vez que las organizaciones y los administradores de sistemas deben mantener prácticas mínimas de seguridad.