Cuatro (4)  vulnerabilidades críticas que afectan el servicio de escritorio remoto de windows (RDS), previamente conocido como terminal server han sido publicadas durante el boletín de seguridad de Microsoft del mes de agosto. 

La criticidad de las vulnerabilidades se deben a los siguientes factores:

  1. Servicio altamente expuesto
  2. Explotación Remota
  3. No se requieren credenciales para la explotación de los servicios
  4. Una vez explotada la vulnerabilidad en un solo equipo, se pueden explotar otras máquinas de la red ya sea para ganar acceso a otros sistemas o para la automatización de distribución de malware

Realizando busquedas en Shodan se identifica que en Colombia hay casi 11.000 equipos expuestos con RDP a través del puerto 3389

Resultados de servidores con RDP expuesto

Medellín y Bogotá son las principales ciudades con servicios de RDS publicados hacia internet.

Regiones con RDP Expuesto en Colombia

Como se observa en las gráficas anteriores, el riesgo es alto, debido al gran número de servicios de RDP publicados en la región.  Si bien a la fecha no se han identificado exploits para estas vulnerabilidades, será cuestión de días para que aparezcan exploits gratuitos o comercializados en la dark web.

En la siguiente sección, se encuentra el detalle de cada una de las vulnerabilidades, su impacto, el alcance y algunas medidas de mitigación.

CVE: CVE-2019-1181, CVE-2019-1182
Factor de Riesgo: Alto
Valor CVSS Base: 9.8

Descripción: Esta vulnerabilidad, permite que un adversario sin credenciales en el sistema y mediante el envío de peticiones específicas, pueda conectarse al sistema objetivo a través del puerto del servicio RDP. El adversario que logre aprovechar  esta vulnerabilidad puede ejecutar código remoto de forma arbitraria, lo cuál permitiría  tomar control total del sistema.

Productos Afectados:
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for 64-based Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)
Windows Server, version 1903 (Server Core installation)

 

Mitigación:

  1. Aplicar los parches disponibles en los boletines especiales https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181 y https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182 en la sección Security Updates
  2. Eliminar las publicaciones de servicios de RDP hacia internet, si requiere acceso remoto a servicios de RDP, utilice VPNs o permitir el acceso sólo desde direcciones IP de confianza. RDP se ejecuta normalmente en el puerto 3389.
  3. Habilitar la Autenticación a nivel  en red (NLA) para evitar la explotación mediante conexiones no autenticadas, puede encontrar una guía paso a paso del proceso en uno de nuestros artículos.
    Terminal Services Doesn’t Use Network Level Authentication (NLA) Only
    Esta medida es importante para mitigar servicios de RDP Internos; una vez que el adversario logres acceso a un servidor,  podría pivotear a otras máquinas en redes internas mediante la explotación de las vulnerabilidades mencionadas en este artículo.
  4. Si sus servidores o equipos no requieren acceso remoto, deshabilitar el servicio.

 

CVE: CVE-2019-1222, CVE-2019-1226
Factor de Riesgo: Alto
Valor CVSS Base: 9.8

Descripción: Esta vulnerabilidad, permite que un adversario sin credenciales en el sistema y mediante el envío de peticiones específicas, pueda conectarse al sistema objetivo a través del puerto del servicio RDP. El adversario que logre aprovechar  esta vulnerabilidad puede ejecutar código remoto de forma arbitraria, lo cuál permitiría  tomar control total del sistema.
Productos Afectados:
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)
Windows Server, version 1903 (Server Core installation)

Mitigación:
La única opción disponible es aplicar los parches mencionados en los boletines especiales de Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222 y https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226 en la sección Security Updates

 

 

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like