Vulnerabilidades críticas en RDP reparadas en último parche de Windows

Además de la vulnerabilidad que afecta al proceso de validación de certificados de Windows, otras vulnerabilidades críticas en RDP fueron parcheadas en el último paquete de actualizaciones que lanzó Microsoft.

Como mencionamos en el artículo sobre la importancia de instalar el último paquete de actualizaciones que lanzó Windows, ya que uno de los parches repara una vulnerabilidad (CVE-2020-0601) crítica en el proceso de validación de certificados que realiza Windows 10 y Windows Server 2016/2019, además de este fallo, otras 48 vulnerabilidades más fueron mitigadas con los últimos parches de seguridad que lanzó la compañía. Entre estas, dos vulnerabilidades también consideradas críticas que permitirían a un atacante ejecutar código de manera remota en servidores RDP y acceder a una red sin necesidad de tener que pasar por un proceso de autenticación.

Según advierte el Centro de Respuesta de Seguridad de Microsoft, la explotación de estos fallos (CVE-2020-0609 y CVE-2020-0610) posibilitarían a un actor malicioso instalar programas, ver, modificar o incluso eliminar información o hasta crear nuevas cuentas con permisos completos. De acuerdo a la valoración que hace Microsoft, estos fallos son aún más severos que la vulnerabilidad CVE-2020-0601.

Estas dos vulnerabilidades tienen un impacto similar a BlueKeep (CVE-2019-0708), una vulnerabilidad que como hemos visto, fue reportada en mayo del 2019 por Microsoft y hacia finales del año comenzaron a crecer los ataques que intentaban explotarla. Por si fuera poco, se estima que este año continuarán los intentos de ataque aprovechando este fallo con el riesgo de que intenten distribuir amenazas más peligrosas que las que hasta el momento han logrado distribuir.

Además de estas dos vulnerabilidades críticas, otras tres vulnerabilidades relacionadas al RDP fueron parcheadas en el último paquete de actualizaciones que lanzó Microsoft el último martes.

Cómo mencionó el investigador de ESET, Aryeh Goretsky en un completo artículo (que incluye un white paper) publicado recientemente en el que explica por qué desconectar RDP de Internet para evitar ser víctima de un ataque, durante los últimos años se han visto cada vez más incidentes de seguridad en los que los atacantes se han conectado remotamente a un servidor de Windows de Internet utilizando RDP e iniciando sesión como administrador de la computadora, lo que permitía a los cibercriminales realizar una gran cantidad de acciones maliciosas, como deshabilitar el software de seguridad, instalar programas de criptominería o incluso amenazas más peligrosas, como un ransomware, entre otras tantas.

Lamentablemente, tal como fue en el caso de WannaCry y como también ha pasado en gran medida después de que se comunicó la existencia de BlueKeep, pese a que se lanzó el parche para cada una de las vulnerabilidades que permitían llevar adelante estos ataques, muchos equipos permanecían sin parchear tiempo después, quedando expuestos a posibles ataques.

Dicho esto, aconsejamos a los usuarios instalar el último paquete de actualizaciones cuanto antes para estar protegidos y tomar consciencia sobre la importancia de instalar las actualizaciones de seguridad.

Fuente: www.welivesecurity.com