Entre las actualizaciones publicadas ayer por Microsoft, la relacionada con el Protocolo de Escritorio Remoto (RDP) ha sido catalogada como crítica porque podría permitir la ejecución remota de código en equipos Windows.
Hasta ayer los usuarios supimos de la vulnerabilidad corregida con la actualización de seguridad, ya que no había sido divulgada antes. Hasta ayer también los cibercriminales supieron de dicha vulnerabilidad. Por lo tanto, es previsible que intenten explotarla debido al gran número de equipos que pueden estar usando la funcionalidad de escritorio remoto. Microsoft ya ha advertido que posiblemente en los próximos 30 días pueda surgir el código de explotación de la vulnerabilidad.
Recordemos que RDP permite a los usuarios crear una sesión virtual en sus equipos de escritorio permitiendo a usuarios remotos tener acceso a todos los datos y aplicaciones del equipos. Es una funcionalidad muy utilizada para resolver problemas en equipos sin tener que acudir físicamente al mismo.
El atacante puede desarrollar el código de explotación y transmitirlo como gusano por la red para ejecutarse en el equipo vulnerable sin que el usuario intervenga y tomar el control total del equipo. Así, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios de usuario.
Si bien RDP no está habilitado de forma predeterminada, la preocupación es debido a que posiblemente haya sido habilitado por el usuario o gente de soporte para resolver algun problema técnico. Algo usual en entornos empresariales.
Microsoft también dijo que hasta ayer no tenía informes que indicara que la vulnerabilidad se hubiera utilizado para atacar a clientes. Sin embargo, es importante que los usuarios o administradores de sistemas pongan especial atención para que sea implementada la actualización de seguridad antes de que sea desarrollado algún código de explotación, que puede ser en horas o días. No es para menos, recordemos las sorpresas de Blaster, Código Rojo, Nimda, Conficker, por citar algunos.
Algunas medidas recomendadas por Microsoft para mitigar la vulnerabilidad son:
- Deshabilitar Terminal Services, Escritorio remoto, Asistencia remota y la característica Lugar de trabajo remoto en Web de Windows Small Business Server 2003 si ya no se necesitan.
- Bloquear en el firewall perimetral de la empresa, el puerto TCP 3389 usado para iniciar una conexión con el componente afectado. Si usa Lugar de Trabajo Remoto en Web en Windows Small Business Server 2003 bloquear el puerto TCP 4125 para escuchar conexiones RDP , validando que este puerto también esté bloqueado para Internet además del puerto 3389. Si cambió los componentes afectados para que usen otros puertos, también debe bloquear esos puertos adicionales.
- Habilitar la autenticación de nivel de red en sistemas que ejecuten ediciones compatibles de Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2.