Vulnerabilidad de Seguridad UNAM-CERT-2019-001 Actualizaciones de Seguridad para Remote Desktop Services
Microsoft ha lanzado un conjunto de soluciones para los servicios de escritorio remoto que incluyen dos vulnerabilidades críticas de ejecución remota de código (RCE).
- CVE-2019-1181
- CVE-2019-1182
- Windows 7 SP1
- Windows 8.1
- Windows 10
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
Al igual que la vulnerabilidad 'BlueKeep' previamente corregida, estas dos vulnerabilidades también son 'wormable', significa que cualquier futuro malware que explote estas vulnerabilidades podría propagarse de una computadora vulnerable a otra computadora vulnerable sin la interacción del usuario.
Un atacante que explotara con éxito la vulnerabilidad podría ejecutar código arbitrario en el sistema objetivo.
- Deshabilitar el servicio de escritorio remoto si no es requerido
- Aplicar actualizaciones
Las descargas de estas actualizaciones se pueden encontrar en la Guía de actualización de seguridad de Microsoft:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
Los clientes que tienen habilitadas las actualizaciones automáticas están protegidos automáticamente por estas correcciones. De manera predeterminada, los usuarios de Windows 10 Home y Windows 10 Pro se actualizarán automáticamente. -
Habilitar Network Level Authentication (NLA)
Se puede habilitar la Autenticación a nivel de red para impedir que los atacantes no autenticados exploten esta vulnerabilidad. Con NLA activado, un atacante primero necesitaría autenticarse en los Servicios de Escritorio Remoto usando una cuenta válida en el sistema objetivo antes de que el atacante pueda explotar la vulnerabilidad. -
Bloquear el puerto 3389/TCP en el firewall
El puerto 3389/TCP es utilizado para iniciar la conexión con el componente afectado. Bloquear el puerto en el firewall perimetral puede ayudar a proteger sistemas que se encuentran detrás del firewall de los atacantes que intentan explorar la vulnerabilidad. Esto puede ayudar a proteger de ataques que se originan fuera del perímetro de la organización. Bloquear lo puertos afectados en el firewall perimetral es la mejor defensa para ayudar a evitar ataques desde Internet. Sin embargo, los sistemas pueden seguir vulnerables de ataques desde el perímetro de la organización.
- https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
- https://nvd.nist.gov/vuln/detail/CVE-2019-1181
- https://nvd.nist.gov/vuln/detail/CVE-2019-1182
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración o traducción y revisión de este Documento a:
- Luis Antonio Martinez Salazar (luis dot martinez at cert dot unam dot mx)
- Sergio Anduin Tovar Balderas (anduin dot tovar at cert dot unam dot mx)
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at cert.unam.mx
phishing at cert.unam.mx
https://www.cert.org.mx
https://www.cert.unam.mx
Tel: 56 22 81 69