banner

MS12-020: El Escritorio Remoto (RDP) ha sido pwned

En los últimos días, tanto las redes sociales como Internet, se han inundado de páginas con información sobre una de las vulnerabilidad (MS12-020) más críticas (por difusión e impacto) de las conocidas para el Sistema Operativo Windows en todas sus versiones, desde WindowsXP hasta Windows Server 8.

Por ello, no entraré en los detalles ni a seguir bombardeando, sobre la misma información, a continuación os dejo unos enlaces, donde se puede consultar información sobre la vulnerabilidad.

No obstante, en este artículo lo enfocaré a la protección, ¿Cómo podemos protegernos de esta vulnerabilidad? ¿Parche, actualización? ¿Qué hacemos?

ANTECEDENTES

Brevemente, el pasado 13 de Marzo 2012, Microsoft hacia publico en su boletín de seguridad, la detección de múltiples vulnerabilidades, de entre ellas destaca:
MS12-020: Boletín "crítico" que resuelve dos vulnerabilidades (CVE-2012-0002 y CVE-2012-0152) localizadas en el protocolo de Escritorio remoto (RDP), que no está habilitado por defecto en ningún sistema operativo Windows. El más grave de los problemas puede permitir  la ejecución remota de código. Afecta a toda las familias de Windows.[Hispasec]
El RDP, o lo que es lo  mismo, el protocolo de Escritorio Remoto, es lo que permite a un usuario remoto tomar el control total del ordenador. Este servicio se encuentra activado por defecto en todos los Sistemas Operativos de Windows.

La importancia de esta vulnerabilidad, se debe sobre todo al gran número de usuarios / equipos que se encuentra afectados. Tal es este echo, que una búsqueda de equipos que tiene el puerto 3389 disponible (open) en Internet utilizando el servicio SHODAN, refleja que existe al menos más de 2000 equipos conectados directamente a Internet, y por tanto expuesto a cualquier ataque.


En vista de los resultado, se necesita "tomar" una serie de medidas de protección para evitar que "alguien" pueda atacar nuestro equipo.

MEDIDAS DE PROTECCIÓN

Aunque todavía no se conoce exploit, si que están apareciendo las primeras pruebas de concepto sobre la vulnerabilidad (MS12-020), por ello se os recomienda realizar las siguientes acciones, lo más pronto posible:
  1. Mantener actualizado el Sistema Operativo Windows, al día | Aplicar el parche (aqui).
  2. Deshabilitar el servicio de RDP, si no lo usáis.
¿Cómo se deshabilita el servicio RDP?

La mejor manera de hacerlo es seguir las instrucciones de Microsoft, no obstante aquí os dejo un resumen:

Para WindowsXP:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba gpedit.msc y, a continuación, haga clic en Aceptar.
  2. En el editor de Directiva de grupo, haga clic para expandir Configuración del equipo, Plantillas administrativas, Componentes de Windows y Servicios de Terminal Server.
  3. Haga doble clic en la directiva No permitir conexiones de clientes nuevos.
  4. Establezca la directiva como Habilitada y haga clic en Aceptar.
 Para Windows Vista/7:
  1. Acceder al Panel de control, Todos los elementos de Panel de control, y luego en Sistema.
  2. Hacer click en "Configuración de Acceso Remoto".
  3. Una vez en el Menu, No permitir ninguna conexión remota.

O bien ir directamente a la lista de Servicios de Windows, y Deshabilitar el RDP, ver la imagen siguente:

Disable Remote Desktop Protocol.
Otras opciones, si por necesidad se debe de seguir utilizando el servicio de escritorio remoto, se pueden minimizar los riesgos, aplicando el parche, configurando adecuadamente el cortafuegos (bloqueando cualquier IP, que no sea la autorizada), o incluso realizando una configuración segura del servicio como se "indica" en este artículo de Microsoft.

Un Saludo.

No hay comentarios :

Publicar un comentario en la entrada