Microsoft lanzó un nuevo paquete actualizaciones de seguridad correspondiente al mes de agosto en el que repara un total de 93 vulnerabilidades, entre las cuales hay cuatro de ellas (CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, y CVE-2019-1226) que están presentes en el servicio de escritorio remoto de Windows y permiten la ejecución remota de código (RCE).

La compañía recomienda instalar lo antes posible las últimas actualizaciones. Esto se debe a la naturaleza de estos cuatro fallos, ya que, además de que pueden ser explotados de manera remota y sin necesidad de interacción por parte de la víctima, presentan características similares a BlueKeep; como es el hecho de que podrían permitir que un malware se propague automáticamente hacia otros equipos vulnerables sin necesidad de interacción por parte de la víctima (características de gusano), similar a la forma en que se distribuyó el ransomware WannaCry en 2017 y que tanto daño hizo.

Para explotar los dos primeros fallos -que permiten ejecutar código de manera arbitraria-, un atacante no autenticado solo necesitará enviar una solicitud especialmente diseñada al sistema elegido como blanco a través de RDP. Una vez que logre explotar el fallo podrá luego ejecutar código en el equipo comprometido e instalar programas, ver y/o modificar información e incluso crear nuevas cuentas con altos niveles de permisos.

Dos de estas vulnerabilidades (CVE-2019-1181 y CVE-2019-1182) afectan a todas las versiones de Windows 10, además de las versiones server 2019, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1 y Windows Server 2012 R2. En el caso de las vulnerabilidades CVE-2019-1222, y CVE-2019-1226 afectan solamente a las ediciones de Windows 10 y Windows Server.

Según explicó en un post el director de Respuesta a Incidentes de Microsoft, Simon Pope, en el caso de las dos primeras vulnerabilidades, “hasta el momento no hay evidencia de que estos fallos hayan sido descubiertos con anterioridad por terceros”.

Por otra parte, “los sistemas que tengan habilitada la autenticación a nivel de red (NLA, por sus siglas en inglés) habrán mitigado de forma parcial la posibilidad de verse afectados por una amenaza avanzada o con características de gusano que explote la vulnerabilidad, ya que para poder hacerlo la activación del NLA requiere autenticación”, aclaró Pope. Sin embargo, los sistemas afectados que no hayan instalado el último parche seguirán siendo vulnerables a la explotación mediante RCE si un atacante obtiene las credenciales que le permitan autenticarse”, agregó.

Cabe recordar que al poco tiempo de que Microsoft emitiera su primer comunicado en mayo de este año alertando sobre el hallazgo de BlueKeep y la importancia de actualizar los sistemas para evitar un posible brote similar a WannaCry, comenzó a hacerse pública mucha información relacionada a la explotación de BlueKeep e incluso se divulgaron varias pruebas de concepto (PoCs) que demostraban la posibilidad de explotar la vulnerabilidad. Por si fuera poco, pese a los dos comunicados que finalmente emitió Microsoft sumado al que lanzó la NSA exhortando a que se instale el parche que repara el fallo, dos semanas después de haberse lanzado, el número de equipos que seguían siendo vulnerables a BlueKeep era cercanos a un millón, lo que demuestra la lentitud del proceso de instalación de las actualizaciones.