– ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha anunciado la disponibilidad de una herramienta gratuita para ayudar a los usuarios a comprobar si su versión de Windows es vulnerable a BlueKeep. Este exploit utiliza conexiones RDP (Protocolo de Escritorio Remoto) para realizar acciones maliciosas aprovechándose de los servidores vulnerables de las víctimas.
“De momento la vulnerabilidad BlueKeep no ha causado gran revuelo, pero esto se debe a que es un exploit incipiente”, explica el investigador de ESET Aryeh Goretsky. “El hecho de que muchos sistemas no hayan instalado aún el parche y de que se podría encontrar alguna versión en forma de gusano nos hace permanecer alerta”.
Los protocolos RDP permiten a un ordenador conectarse a otro desde una red de forma remota. En los últimos dos años, ESET ha observado un creciente número de incidentes en los que los atacantes se conectaban de forma remota a un servidor Windows utilizando este tipo de protocolos. Los atacantes se conectaban como administradores, de forma que podían realizar cualquier acción maliciosa, entre las cuales se encuentran descargar e instalar programas en el servidor, desconectar el software de seguridad o extraer datos desde el servidor. La naturaleza exacta de lo que realizan los atacantes puede variar pero lo más común es que instalen programas de minado de monedas o ransomware para extorsionar a las víctimas.
“Los ataques realizados con RDP han ido creciendo poco a poco pero sin descanso y son objeto de numerosos avisos por parte de los gobiernos de EE.UU., Canadá, Reino Unido o Australia, entre otros”, afirma Goretsky. “La llegada de BlueKeep abre las puertas a otros ataques. Además es posible que esta vulnerabilidad se aproveche en forma de gusano informático, lo que significa que el ataque se podría propagar de forma automática por las redes sin intervención de los usuarios”.
Microsoft ha asignado a BlueKeep el máximo nivel de peligrosidad (“Crítico”) en su guía para clientes y el gobierno de EEUU ha calificado esta vulnerabilidad como un riesgo de 9.8 sobre 10.
“Los usuarios deben detener sus conexiones directas a servidores mediante RDP. Es comprensible que para algunos negocios esto suponga un problema, pero teniendo en cuenta que el soporte para Windows Server 2008 y Windows 7 termina en enero, confiar en este tipo de programas representa un riesgo para cualquier organización y ahora es el momento de prevenirlo”, concluye Goretsky.