Disponible una prueba de concepto para la vulnerabilidad en RDP

Sin duda, la publicación el pasado martes del parche de seguridad MS12-020, que soluciona un fallo grave en el manejo del protocolo RDP, es una de las noticias de seguridad más importantes en lo que llevamos de año, no tanto por la publicación del parche en sí, sino por la vulnerabilidad que soluciona.

Las posibilidades de que de nuevo un gusano campe a sus anchas en entornos Windows, como en los mejores tiempos del Sasser y el Blaster, son, por suerte, bastante limitadas en esta ocasión. No obstante, esta vulnerabilidad puede (y será) aprovechada por muchos ciberdelincuentes para acceder a máquinas sin actualizar y obtener jugosa información de ellas.

Cuando Microsoft publicó el parche de seguridad, avisó de que era posible que viéramos pruebas de concepto y ataques usando esta vulnerabilidad en los siguientes 30 días. No ha hecho falta esperar tanto, puesto que solo un par de días después de su publicación ya se encuentra circulando una prueba de concepto.

Lo curioso en esta ocasión es que la prueba de concepto que ha salido a la luz aprovecha mucha parte del código de otra prueba anterior, la del investigador Luigi Auriemma, que fue quien encontró la vulnerabilidad en mayo del pasado año 2011 y la reportó a Microsoft en agosto.

El problema viene debido a que, una vez se reporta una vulnerabilidad y se envía una prueba de concepto, esta información solo se comparte entre aquellos miembros que componen la Microsoft Active Protection Program (MAPP), formada por otros investigadores, ya sean de Microsoft, independientes o de las mismas casas antivirus. Es por eso que el descubrimiento la semana pasada del código de esta prueba de concepto en un foro chino hizo que saltaran todas las alarmas, puesto que nadie fuera de aquellos miembros que componen el MAPP debería tener acceso a tal código.

El propio Luigi Auriemma relata un resumen de los acontecimientos y sugiere varias hipótesis, que incluyen la filtración intencionada del código por parte de Microsoft o de alguno de los miembros de MAPP. Es posible que no sepamos nunca exactamente qué pasó, pero lo que sí que es cierto es que el código está ahí fuera, al alcance de cualquier ciberdelincuente que quiera implementarlo en futuros ataques.

Tal y como está la situación, y viendo cómo de rápido se suceden los acontecimientos, desde el laboratorio de ESET en Ontinet.com recomendamos encarecidamente actualizar nuestros sistemas Windows con el parche lanzado la semana pasada. Mientras tanto, seguiremos informando desde este blog sobre aquellas novedades que se produzcan al respecto de esta noticia, que seguro que dará que hablar en las próximas semanas.

Josep Albors

@Josep Albors

 

 

No Comments

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *