Urgente aplicar parche, Microsoft Vulnerabilidad CVE-2019–0708 RDP Terminal Service

Microsoft recomienda aplicar el parche de seguridad publicado el 14 de Mayo pasado que mitiga la vulnerabilidad CVE-2019–0708, donde indica que un atacante remoto podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado- la explotación no necesita ninguna autentificación específica.

Hay cerca de 900,000 máquinas en el Internet público vulnerables a esta vulnerabilidad, por lo que muchos esperan un gusano pronto como WannaCry y no Petya.

Image for post
Image for post

Recordar que el Terminal Server es usado por diferentes empresas para realizar una conexión remota, las áreas de sistemas lo usan para conectarse a sus servidores, proveedores de software para dar soporte a sus clientes, el servicio de Terminal Service por defecto se ejecuta en el puerto 3389/tcp y también es usado por los atacantes de #Ransomware para hacer un ataque de fuerza bruta apoderarse del servidor y luego saltarse a un servidor local de Base de datos y cifrar archivos importantes por ejemplo sql.

Desde Microsoft la publicación oficial es:

Image for post
Image for post

Los sistemas operativos afectados son:

  • Windows 7, Windows Server 2008 R2, and Windows Server 2008.
  • Windows 2003 and Windows XP.

Para ello, Microsoft recomienda aplicar los siguiente Security Updates, parches de seguridad:

Image for post
Image for post

Inclusive el CERT de USA, ha publicado:

Image for post
Image for post

Aún no se tiene conocimiento del exploit, el costo del aproximado esta entre US$25k y US$100k correspondiente a la vulnerabilidad CVE-2019–0708:

Image for post
Image for post

La explotación no necesita ninguna autentificación específica. No se conoce los detalles técnicos ni hay ningún exploit disponible. Esta vulnerabilidad resulta históricamente interesante por la forma en que se desarrollo.

Image for post
Image for post

Se han desarrollado scanners para identificar si eres vulnerable como rdpscan. Hay cerca de 900,000 máquinas en el Internet público vulnerables a esta vulnerabilidad, por lo que muchos esperan un gusano pronto como WannaCry y no Petya.

Image for post
Image for post

Para el caso de Perú, solo servidores que tengan el Terminal Service 3,270 servidores, faltaría ver si tienen la vulnerabilidad:

Image for post
Image for post

Recomendaciones:

  • Aplicar el Secutiy Update de acuerdo a la versión del sistema operativo lo más antes posible, es URGENTE.
  • Sí no estas usando el servicio de Terminal Service, bloquear el puerto 3389/tcp en el firewall remoto.
  • Sí necesitas una conexión remota, recomiendo usar la conexión remota del firewall cliente VPN o SSL agregando una regla específicando la lista de direcciones fuente, direcciones destino (Servidores locales), servicios SQL, SAP, Oracle, aplicar el servicio de IPS.
  • Sí de todas maneras vas a usar Terminal service, cambiar el puerto 3389/tcp a otro puerto alto.
  • No publicar el servicio Terminal Service a todo Internet, especificar la IP remota, así tú puedes agregar un access list que sólo esa dirección tenga acceso al Terminal service.
  • En todos los casos en el firewall perimetral especificar el servicio, tipo va a ingresar al servicio del IIS, Oracle, SQL Server, etc. No configurar en el firewall perimetral en el servicio: “Any”, “All” ya que estarias dejando que cualquier servicio se ejecute, es una mala práctica.
  • No ejecutar el Terminal Service como Administrador!, sería muy malo que sea el mismo password que el admin del dominio!!.
  • En todos lo casos habilitar los logs, eventos para que tengas visualización tanto en los servidores, firewall, IPS.

Fuente, US-CERT.gov:

Fuente, Portal de Microsoft:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Fuente, Windows Security Support:

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

Fuente, VULNERABILIDAD ID 134681:

https://vuldb.com/es/?id.134681

Written by

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store