Alerta de seguridad de CCN-CERT sobre una vulnerabilidad crítica en RDS de Microsoft

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

La vulnerabilidad permitiría la ejecución remota de código en el servicio RDS (antiguamente conocido como "Terminal Services") sin autenticación previa y sin interacción por parte de un usuario. Por tanto, un atacante podría enviar solicitudes especialmente diseñadas que provocarían la ejecución de comandos como usuario privilegiado, lo que le permitiría instalar programas; ver, cambiar, o eliminar datos; o crear nuevas cuentas de usuario.

Aunque Microsoft  aún no ha observado ninguna evidencia de ataques explotando este fallo, la vulnerabilidad ha sido identificada como CVE-2019-0708 y calificada como "extremadamente crítica",

Según la alerta lanzada por el equipo de CCN-CERT, los recursos afectados son Windows 7 for 32-bit Systems Service Pack 1 y Windows 7 for x64-based Systems Service Pack 1, así como Windows Server 2008 for 32-bit Systems Service Pack 2, Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation), Windows Server 2008 for Itanium-Based Systems Service Pack 2, Windows Server 2008 for x64-based Systems Service Pack 2, Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation), Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1, Windows Server 2008 R2 for x64-based Systems Service Pack 1 y Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Medidas de mitigación
Usuarios y administradores de sistemas deben aplicar el parche oficial lanzado por Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708 y, en caso de que no sea posble, tienen que deshabilitar los servicios de Remote Desktop Services (RDS).

También es posible reducir el riesgo ante este fallo habilitando el NLA (Network Level Authentication >> requerir que el usuario que se conecta se autentique antes de establecer una sesión con el servidor), a través de la siguiente GPO (Directiva de Grupo):

Computer Configuration \ Policies \ Administrative Templates \ Windows Components \ Remote Desktop Services \ Remote Desktop Session Host \ Security \

Por último, ante la gravedad del fallo, Microsoft también ha publicado un aviso con actualizaciones para los siguientes sistemas: Windows XP SP3 x86, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3 x86, Windows Server 2003 SP2 x86 y Windows Server 2003 x64 Edition SP2.

Según CCN-CERT, aunque de momento no se está detectando actividad maliciosa en la red que se aproveche de este fallo, es muy probable que actores malintencionados desarrollen rápidamente un exploit para esta vulnerabilidad e incorporarlo a sus diferentes programas de malware. Por lo tanto, recomienda “tomar las medidas indicadas en el menor tiempo posible y estar al tanto de la posible evolución del problema y de las nuevas publicaciones que pueda realizar el fabricante, en este caso Microsoft”.