Vulnerabilidad Blue Keep

Durante el mes de mayo, conocimos la existencia de la vulnerabilidad denominada BlueKeep (CVE-2019-0708), que afecta a los servicios de Escritorio Remoto (RDP). Microsoft ha lanzado un parche para las versiones 2003 de Windows, XP, Windows 7 y para las versiones de Windows Server 2008 y Windows Server 2008 R2, sistemas que estarían afectados por esta vulnerabilidad.

Podría haber millones de máquinas expuestas a Internet sin un parcheo adecuado. Por hacer una analogía se podría dar un ataque similar al ocasionado en 2017 por el famoso WannaCry.

Es tal la importancia de la vulnerabilidad, que la Agencia Nacional de Seguridad de los Estados Unidos (NSA) emitió el pasado 4 de junio, un comunicado destinado a usuarios y administradores de sistemas, para subrayar la importancia de parchear los sistemas que pudieran estar afectados por esta vulnerabilidad, en previsión de que esta pueda ser utilizada de forma masiva para ataques de ransomware, DDoS y exploits.

Algunas medidas que podrían evitar el aprovechamiento de esta vulnerabilidad podrían ser entre otras:

• Bloquear el puerto TCP 3389 en los firewall perimetrales, para evitar la explotación desde el exterior.
• Deshabilitar los servicios de Escritorio Remoto en estos productos de Microsoft si realmente no son necesarios.
• Habilitar la autenticación de nivel de red o NLA.

Por supuesto, es también recomendable actualizar lo antes posible el parque desplegado con los productos que pudieran estar afectados por esta vulnerabilidad.