Ataques y medidas de protección contra el bug del protocolo RDP

La vulnerabilidad en la implementación del protocolo RDP es, sin lugar a dudas, la noticia en materia de vulnerabilidades de lo que llevamos de año. Aun a pesar de que la opción que habilita gestionar el escritorio remoto viene desactivada por defecto en los sistemas Windows, son muchos los equipos, sobretodo en entornos corporativos que sí tienen habilitada esa opción y son, por tanto, susceptibles a sufrir ataques que se aprovechen de esta vulnerabilidad.

Un ejemplo de intentar aprovecharse de este agujero de seguridad es la herramienta RDPKill, diseñada para detener el servicio RDP y que afecta tanto a sistemas Windows XP de 32 bits y Windows 7 de 64 bits que no tienen el parche de seguridad aplicado.

Estos sistemas terminan mostrando un pantallazo azul causado por el fallo en el servicio RDP al recibir repetidos intentos de conexión, algo similar a lo que provocaría un ataque de denegación de servicio (DoS).

Sabiendo que una aplicación como esta, con un diseño muy simple puede causar estos estragos, es prioritario que se aplique el parche de la vulnerabilidad MS12-020 (también conocida como CVE-2012-0002). Esto no suele suponer mayores problemas para usuarios domésticos pero en entornos corporativos, donde muchas veces los parches de seguridad tardan bastante tiempo en ser aplicados mientras se prueban que no causan incompatibilidades con otro software que puedan tener instalados los sistemas, es posible que se necesite una ayuda adicional para mitigar posibles ataques.

Para ello los administradores de este tipo de redes cuentan con varias herramientas a su disposición. El propio software de seguridad puede ser de ayuda si, como en el caso de contar con soluciones de seguridad de ESET, se detectan este tipo de ataques y se bloquean, impidiendo que el sistema atacado se cuelgue.

Pero también existen otro tipo de opciones como la que nos presenta Yago Jesús en el blog SecuritybyDefault y que consiste en utilizar su herramienta Patriot NG para monitorizar los intentos de conexión a puertos y bloquear aquellos que creamos puedan suponer una amenaza para nuestros sistemas.

De una forma u otra, es altamente importante vigilar de cerca toda la información relativa a esta grave vulnerabilidad. Desde el laboratorio de ESET en Ontinet.com recomendamos encarecidamente aplicar cuanto antes el parche proporcionado por Microsoft en todos los sistemas posibles y, en el caso de no poder aplicarlo todavía, tomar medidas para mitigar posibles ataques.

Josep Albors
@JosepAlbors

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..