Amenazas en la red: Ejecución remota de código

Amenazas en la red: Ejecución remota de código

584 381 Irene Benito Urquijo

El objetivo de este informe de alerta temprana es informar acerca de una nueva vulnerabilidad de ejecución remota de código sin pre autenticación, en concreto, en el servicio Remote Desktop de Windows.

Descripción

Se trata de una vulnerabilidad de ejecución remota de código en servicios de Escritorio Remoto, que se produce cuando un atacante no autenticado se conecta al sistema de destino mediante Remote Desktop Protocol (RDP) y envía solicitudes especialmente diseñadas.

Esta vulnerabilidad no requiere la interacción del usuario y se propaga de manera similar a WannaCry y NotPetya. Ya existe un exploit publicado que se aprovecha de esta vulnerabilidad.

Recursos afectados

  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows 2003 Windows XP

¿Que hacer si estoy afectado?

Oesía recomienda tomar de forma urgente las siguientes contramedidas:

Actualizar el sistema operativo de las máquinas vulnerables con los últimos parches de seguridad publicados por Microsoft.

Si no es posible actualizar el sistema, se recomienda desactivar el servicio RDP, o enrutar internamente un puerto de escucha no estándar al 3389, de manera que los escaneos a este puerto no encuentren nada.