El otro día os informábamos del parche de Microsoft para Remote Desktop y de la gran importancia de su inmediata aplicación en todos vuestros sistemas, pues como tampoco es un misterio que mucha gente desactiva las actualizaciones automáticas o simplemente no se preocupa mucho de ellas, este fallo de seguridad es el objetivo principal para cientos de grupos hackers a nivel mundial, habiendo surgido recompensas para el primero que sea capaz de desarrollar un exploit para automatizar los ataques. Paralelamente Microsoft se enfrenta a un problema interno de seguridad, ya que al poco de publicar el parche, se detectó en China la aparición de un exploit para el mismo.

Microsoft74

Remote Desktop es un sistema muy utilizado a nivel mundial y grandes hosts tienen gran parte de sus máquinas con este servicio abierto, esto ha ofrecido un magnífico servicio a sus usuarios pero a raíz de la vulnerabilidad de RDP se ha convertido en un grave problema que muchos ya se han afanado en parchear. Pero cuantos millones de ordenadores siguen sin estar actualizados? Este es el objetivo de las mafias.

Recordemos que el martes, en su patch tuesday, Microsoft lanzó un parche para corregir esta vulnerabilidad, el cual fue calificado como crítico para clientes y "patch now" para servidores. En el mismo momento este parche, junto a los otros lanzados al mismo tiempo, se añadió en el respositorio de Windows Update, con lo que todos los ordenadores con las actualizaciones automáticas habilitadas lo instalaron (dependiendo de la configuración) posiblemente el mismo día. Pero muchos ordenadores personales y servidores ,por motivos de productividad o por otros motivos, tienen desactivada esta opción por lo que muchos de ellos posiblemente no se hayan actualizado aún.

En este escenario y tras la liberación del PoC por parte de su descubridor original Luigi Auriemma en el día de ayer, la comunidad tiene en su poder todo lo necesario para desarrollar un exploit, que posiblemente sin ser público ya esté funcionando a estas horas, posiblemente con el uso de un gusano. En este sentido ya han aparecido versiones falsas de gusanos escritos en Python, posiblemente con algún código malicioso en su interior para atacar a "script-kiddies" que buscan sin descanso algún exploit funcional.

Además el conseguir que el máximo de clientes actualicen su RDP no es el único quebradero de cabeza para Microsoft ya que ha tenido que iniciar una investigación interna para determinar si hubo un robo de información respecto a la vulnerabilidad, ya que poco tiempo después de la salida del parche ya se detectó en China un exploit funcional para el mismo, lo que se sospecha que sea debido a un fallo de seguridad en la plataforma de seguridad Microsoft Active Protections Program.

Recordad que instalar el parche para RDP es el camino a seguir, pero que si esto no es posible inmediatamente, se debe desactivar RDP o activar el NLA (Remote Desktop's Network Level Authentication) lo que forzaría al atacante a identificarse antes de poder acceder al RDP.