Hace dos semanas,
Windows anunció el descubrimiento de una vulnerabilidad en
los sistemas de Windows XP, Windows 7 y otros sistemas Windows más antiguos. La
vulnerabilidad, llamada BlueKeep, que existe en los Servicios de Escritorio
Remoto, potencialmente puede ser explotada como gusano. Esto quiere decir que
un atacante podría utilizarla para lanzar un malware que se propaga
automáticamente entre sistemas con la misma vulnerabilidad.
Windows facilitó un parche el día 14 de mayo y advirtió a los
usuarios y las empresas que utilizan los sistemas afectados que era importante
aplicar el parche lo antes posible.
Posible actividad
cibercriminal
Y ahora, se ha detectado que ciberatacantes han empezado a escanear Internet en
búsqueda de sistemas que contengan esta vulnerabilidad. Debido a las advertencias
y el potencial peligro que puede suponer BlueKeep, la
comunidad de la seguridad informática ha estado monitorizando la vulnerabilidad
para avistar señales de ataques o de demos PoC (Proof of Concept) que podrían
utilizarse para crear exploits de BlueKeep.
Aunque ningún investigador ha publicado un exploit de esta
vulnerabilidad de momento, varias organizaciones han confirmado que han podido
desarrollar exploits para BlueKeep, los cuales mantendrán secretos para no
facilitar su uso en ciberataques.
Días después, el 24 de mayo, la empresa de inteligencia de amenazas,
GreyNoise, anunció que había empezado a
detectar escaneos que buscaban sistemas de Windows con la
vulnerabilidad BlueKeep. Se cree que estos escaneos provienen de un solo
ciberatacante.
De momento, solo son escaneos y no intentos de explotar la
vulnerabilidad. Sin embargo, el hecho de que un atacante esté dedicando tiempo
y recursos a compilar listas de dispositivos vulnerables indica que es probable
que esté preparando un ataque. Y con un total estimado de más de un millón de
dispositivos vulnerables, este ataque podría tener consecuencias devastadores.
Ya que al menos seis organizaciones han desarrollado exploits de
BlueKeep, y existen dos informes muy detallados sobre la vulnerabilidad, es una
cuestión de tiempo hasta que los ciberatacantes desarrollen sus propios
exploits.
El peligro de las
vulnerabilidades
La lista de ciberataques facilitadas por vulnerabilidades es muy larga.
El ataque más notorio de los últimos años, WannaCry, fue posible gracias a una
vulnerabilidad de Windows llamada EternalBlue. Las vulnerabilidades
EternalBlue y BlueKeep tienen en común la posibilidad de utilizarlas para
difundir gusanos informáticos. Este hecho preocupa los profesionales de
ciberseguridad, ya que significa que, en teoría, BlueKeep podría utilizarse
para un ciberataque de las mismas dimensiones que WannaCry.
Hace poco, EternalBlue causó otro ciberataque muy notable. La ciudad de
Baltimore se vio afectada por un ataque de
ransomware que inhabilitó muchas partes del sistema informático
del ayuntamiento. Más de tres semanas después, la ciudad sigue intentando
recuperar sus sistemas. Y según The New York Times, la causa de
este ataque tan grave es: EternalBlue.
¿Lo peor de estos dos casos? Casi dos meses antes de los ataques de
WannaCry, Microsoft había publicado un parche para remediar EternalBlue, y los
equipos que lo tenían instalado no se vieron afectados. Y que el ayuntamiento
de Baltimore se viera afectado de la misma forma dos años después de la
publicación del parche es una clara prueba de la importancia de las
actualizaciones de seguridad; y por otra, de la falta de tiempo y recursos
destinados a la monitorización de vulnerabilidad y actualización de parches.
Cómo protegerse de
BlueKeep
Aunque de momento solo se trata de actividad de escaneo, es muy
importante cerrar esta vulnerabilidad ante la posibilidad de que se utilice en
un ataque real. Cuando la vulnerabilidad se descubrió, Microsoft lazó un
parche para los sistemas afectados, incluidos Windows XP, Windows 7 y Windows Server 2008;
es vital instalar este parche lo antes posible.
Para protegernos contra cualquier ciberamenaza, es importante contar con
una solución de ciberseguridad avanzada. Panda Adaptive Defense proporciona una visibilidad
completa de toda la actividad en la red, para que sepas exactamente lo que
ocurre en todo momento.
Además, cuenta con el módulo adicional, Panda Patch Management,
el cual no requiere de despliegues adicionales en el cliente, y además no solo
proporciona parches y actualizaciones para sistemas operativos, sino también
para cientos de aplicaciones de terceros. Panda Patch Management audita,
monitoriza y prioriza las actualizaciones de los sistemas operativos y
aplicaciones desde un panel único. Además, es capaz de contener y
mitigar ataques que explotan vulnerabilidades, aplicando una política
constante de actualizaciones críticas para detectar cualquier posible amenaza
incluso antes de que sea efectiva.
Si tienes dudas o requieres una asesoria pudes buscarnos en nuestra pagina web.