Mensualmente Microsoft publica sus boletines de seguridad y, como viene siendo habitual desde hace años, cada segundo martes de cada mes recibimos nuestra ración de parches para el sistema Windows y numerosas aplicaciones. Sin embargo, este mes hay una vulnerabilidad que destaca sobre las demás ya que permitiría a un atacante propagar una amenaza con características de gusano informático tal y como ya hizo en su día el infame WannaCry.
Vulnerabilidad crítica con elevadas opciones de propagación
Entre las 79 vulnerabilidades que Microsoft ha solucionado en este boletín mensual de seguridad encontramos algunas para varias versiones del sistema operativo Windows, Office, Office Services, Internet Explorer, Edge, .NET Framework, ASP.NET o Skype para Android, entre otras. De todas estas vulnerabilidades, 18 han sido catalogadas como críticas, y, además de las dos que eran conocidas antes de publicar estos parches, hay otra más que ya está siendo aprovechada para realizar ataques.
Pero la vulnerabilidad que ha llamado especialmente la atención (CVE-2019-0708) es una que afecta a los Servicios de Escritorio Remoto y que, aprovechada por un atacante, podría usarse de forma remota mediante el envío al sistema objetivo de peticiones preparadas para tal efecto mediante el protocolo RDP.
Si echamos la vista atrás veremos como otras vulnerabilidades similares publicadas en abril de 2017 por el grupo Shadow Brokers fueron utilizadas poco tiempo después por el malware WannaCry, del que recientemente hemos comentado su segundo aniversario, para conseguir propagarse a través de entornos corporativos. Las vulnerabilidades de este estilo son especialmente peligrosas puesto que no necesitan de la interacción del usuario y permiten al atacante ejecutar código de forma remota en el equipo de la víctima.
Medidas de prevención y mitigación
Hasta el momento de publicar los boletines de seguridad desde Microsoft no se ha observado que se esté utilizando esta vulnerabilidad en ataques, pero no cabe duda de que los delincuentes ya la han integrado a su arsenal y no tardaremos en ver malware que la utiliza.
La buena noticia (si es que podemos llamarla así) es que esta vulnerabilidad solo afecta a sistemas Windows con cierta antigüedad. Los principales sistemas afectados son Windows 7, Windows Server 2008 y Windows Server 2008 R2, pero Microsoft también ha lanzado parches de seguridad para sistemas Windows 2003 y e incluso para Windows XP.
Muchos usuarios y empresas han migrado a sistemas más modernos que no se ven afectados por este tipo de vulnerabilidades, pero aún quedan bastantes equipos que utilizan sistemas susceptibles de ser atacados. Si migrar a un sistema más moderno o aplicar estos parches no es una opción que se pueda aplicar, desde Microsoft recomiendan a los usuarios de Windows Server que bloqueen el puerto 3389 y activen la Autenticación a Nivel de Red para evitar que un atacante no autenticado pueda aprovecharse de este fallo de seguridad.
En cualquier caso, desde Microsoft recomiendan aplicar los parches de seguridad lo antes posible y plantearse la posibilidad de migrar el sistema operativo a uno más actual y con mayores medidas de seguridad integradas.
Conclusión
Estamos ante una de esas vulnerabilidades que pueden suponer, o no, un problema que depende de las medidas que adopten los usuarios a partir de ahora. WannaCry y otras amenazas nos sirvieron de ejemplo hace dos años de lo que puede pasar si no aplicamos las actualizaciones de seguridad en un tiempo prudencial tras su publicación.
Si bien los sistemas que se ven afectados en esta ocasión no son tan numerosos como hace dos años, no debemos caer en el error de entonces y confiarnos, puesto que los delincuentes están preparando nuevos ataques que aprovecharán esta y otras vulnerabilidades, y debemos estar preparados para mitigarlos.