La vulnerabilidad conocida como “BlueKeep” (CVE-2019-0708) sigue presente en millones de máquinas con sistemas Windows.
La vulnerabilidad se encuentra en el protocolo de Escritorio remoto (RDP) y afecta a Windows 7, Windows XP, Windows Server 2003 y Windows Server 2008. Microsoft la corrigió el martes de parches de Mayo 2019 pero la falta de su aplicación mantiene vulnerables a millones de computadoras. Este fallo de seguridad de RDP podría propagarse sin la interacción del usuario a través de Internet.
Los ciberdelincuentes suelen aprovechar este tipo de vulnerabilidad para dirigir ataques de explotación, mediante malware para que el sistema deje de funcionar (denegación de servicio) o ransomware para el bloqueo del sistema.
No es ajeno el interés de que BlueKeep sea incorporado en los kits de explotación de vulnerabilidades para aumentar la capacidad de los ataques.
Es recomendable que los administradores de TI y los usuarios mantengan su sistema Windows actualizado con los parches publicados por Microsoft. Los administradores de TI pueden apoyarse con la herramienta Lansweeper para verificar si las computadoras cuentan con la última actualización de parches de Microsoft.
Otras medidas de mitigación para la vulnerabilidad BlueKeep:
- Deshabilitar los servicios de escritorio remoto si no son necesarios.
- Bloquear en el firewall, el puerto TCP 3389 que usa el protocolo RDP, en particular en el firewall perimetral expuesto a Internet. Esto bloqueará los intentos de establecer una conexión en el firewall.
- Habilitar la autenticación de nivel de red para requerir credenciales válidas para la autenticación de código remoto.