Exploits PoC para defecto de Windows RDS wormable

Windows RDS wormable

Los expertos han desarrollado varios exploits de prueba de concepto (PoC) para la vulnerabilidad recientemente remendada de Windows Remote Desktop Services (RDS), rastreada como CVE-2019-0708 y llamada BlueKeep.

Una de las explotaciones de PoC podría usarse para la ejecución remota de código en sistemas vulnerables.

Las actualizaciones de Microsoft Patch Tuesday para mayo de 2019 abordan casi 80 vulnerabilidades, incluida una falla de día cero de Windows y una vulnerabilidad de RDS que se puede aprovechar para llevar a cabo Quiero llorar-como ataque.

El problema es una falla de ejecución remota de código en Servicios de escritorio remoto (RDS) que puede ser explotada por un atacante no autenticado al conectarse al sistema de destino a través del RDP y al enviar solicitudes especialmente diseñadas.

Según lo explicado por Microsoft, esta vulnerabilidad podría ser explotada por malware con gusano capacidades, podría explotarse sin la interacción del usuario, haciendo posible que el malware se propague de forma incontrolada a las redes objetivo.

La vulnerabilidad no afecta a Windows 8 y Windows 10, de todos modos las versiones anteriores están expuestas al riesgo de ataques cibernéticos.

Microsoft también recomendó a los usuarios de Windows Server que bloqueen el puerto TCP 3389 y habiliten la autenticación de nivel de red para evitar que cualquier atacante no autenticado aproveche esta vulnerabilidad.

El problema plantea un grave riesgo para las organizaciones y los entornos industriales debido a la presencia de una gran cantidad de sistemas a los que se puede acceder a través de RDS.

No todos los exploits publicados públicamente por los expertos están funcionando plenamente, por lo que pueden provocar la vulnerabilidad al no causar ningún problema.

Los expertos en el Instituto SANS observaron dos explotaciones parciales que están disponibles públicamente.

"Varios proveedores de seguridad declararon públicamente que desarrollaron explotaciones internas que al menos provocarán una condición de denegación de servicio (pantalla azul). Actualmente, hay al menos dos explotaciones parciales públicas. "Lee la publicación del blog publicada por el Instituto SANS," Uno activa el "camino vulnerable" sin activar una pantalla azul ni causar ningún otro daño. Se puede ajustar para jugar con el parámetro "canal" para crear tráfico normal y explotar. El segundo también desencadena la vulnerabilidad sin ningún efecto dañino previsto. El segundo exploit se ha puesto a disposición en forma de un escáner de vulnerabilidad independiente ".

De todos modos, algunos investigadores han creado exploits para ejecutar código de forma remota en sistemas vulnerables.

Los expertos creen que es solo una cuestión de tiempo antes de que veamos a los actores de amenazas explotando la falla en la naturaleza.

“En este momento, es solo una cuestión de tiempo hasta que alguien publique un exploit en funcionamiento o un autor de malware comience a vender uno en los mercados clandestinos. "Si eso sucediera, probablemente se volverá muy popular entre los cibercriminales menos calificados y también como un activo lucrativo para su creador", dice el post publicado por ESET.

"BlueKeep También mostrará si las organizaciones de todo el mundo aprendieron una lección después de los grandes brotes de 2017 y mejoraron su postura de seguridad y las rutinas de parches ".

Fecha actualización el 2021-05-24. Fecha publicación el 2019-05-24. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: securityaffairs Version movil