Últimamente hubo un gran revuelo por la nueva vulnerabilidad que afecta a una amplia gama de sistemas Microsoft. Como es ya conocido, este bug se presenta en el protocolo RDP (Remote Desktop Protocol) y afecta actualmente a todas las versiones de Windows que tengan habilitado el servicio en cuestión.
Según el propio sitio de Microsoft, este servicio viene habilitado por defecto en algunos versiones del sistema de Microsoft y la criticidad de esta vulnerabilidad es sumamente alta.
Pero vayamos al caso puntual de la vulnerabilidad en sí, que es el foco de este artículo. El problema radica en la forma que el servicio RDP manipula los paquetes. Es por esto, que si se genera una conexión, por ejemplo, mediante sockets y se altera el paquete que se desea enviar, es posible (de hecho actualmente ya existe) generar un denial of service (DOS) y obtener la famosa “pantalla de la muerte” que tanto ha caracterizado a los sistemas Microsoft a lo largo de los años.
Los sistemas actualmente afectados son:
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 for Itanium-based Systems Service Pack 2
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems No Service Pack and Service Pack 2
- Windows Server 2008 for x64-based Systems No Service Pack and Service Pack 2
- Windows Server 2008 for Itanium-based Systems No Service Pack and Service Pack 2
- Windows 7 for 32-bit Systems No Service Pack and Service Pack 1
- Windows 7 for x64-based Systems No Service Pack and Service Pack 1
- Windows Server 2008 R2 for x64-based Systems No Service Pack and Service Pack 1
- Windows Server 2008 R2 for Itanium-based Systems No Service Pack and Service Pack 1
¿Cuál puede ser el impacto de esta vulnerabilidad?
Si bien el impacto ya es grande, debido a que provocar un DOS a cualquier sistema que posea este servicio activo no es poca cosa, casi todo el mundo está convencido de que el alcance puede ser aún mayor. Con esto me estoy refiriendo a la ejecución de un código arbitrario de forma remota, por lo que estaríamos frente a un bug similar al famoso MS08-067, no porque compartan características similares, sino que si efectuamos una comparación por el nivel de masificación que puede tener este tipo de vulnerabilidad, podríamos llegar a resultados similares.
¿Tiene solución?
Microsoft ya ha emitido un parche que soluciona esta vulnerabilidad para todos los sistemas vulnerables. Esta información se puede obtener del propio sitio de Microsoft.
Si el usuario no sabe si cuenta con la actualización se pueden tomar algunas medidas para no ser vulnerables:
- Si el servicio de RDP no es necesario, desactivarlo.
- Activar el firewall de windows, y si se tiene conocimiento, crear una regla de entrada para este tipo de servicio (normalmente trabaja en el puerto 3389).
- Mantener el sistema operativo actualizado de forma periódica.
- Como información adicional se puede acceder a al sitio de RDPCheck e introducir allí la IP pública del sistema para saber si éste es vulnerable o no.
Para concluír, se sabe desde hace tiempo que este tipo de vulnerabilidades de criticidad tan alta surgen de vez en cuando y mientras se busca la solución para mitigarlas, es de suma importancia educar al usuario para que tome las medidas necesarias y no exponer a sus sistemas a riesgos innecesarios. Seguramente, en los próximos días veremos el release de algún exploit que aproveche esta vulnerabilidad y ejecute código remoto.
Fernando Catoira
No hay comentarios.:
Publicar un comentario