Hola,les escribe Roberto Arbeláez.

Ya hay indicios sobre la aparición de código de prueba de concepto (POC – Proof of Concept) que trata de explotar la vulnerabilidad CVE2012-002. Esta vulnerabilidad hace posible la ejecución remota de código explotando una debilidad en el protocolo RDP – Remote Desktop Protocol.

Aunque aún no ha sido confirmada por Microsoft, la aparición del código de prueba de concepto ha sido documentada en la web en artículos como éste de Sophos, y éste de Threat Post. La generación de una prueba de concepto que demuestre la viabilidad de explotación de una vulnerabilidad es un paso previo al desarrollo de un código de explotación que funcione de manera confiable.

 

Debido a que la vulnerabilidad es potencialmente explotable por un gusano autoreplicante, es posible que en el futuro cercano / mediano, aparezca malware de éste tipo que explote la vulnerabilidad de manera automática, posiblemente llevando a que se presenten infecciones masivas.

 

Esta vulnerabilidad ya fue parchada por el boletín de seguridad de Microsoft MS12-020, publicado el Martes 13 de Marzo de 2012, por lo que es necesario que todos nuestros clientes instalen esta actualización en sus sistemas lo mas pronto posible.

 

 

¿Que debo hacer para protegerme?

  1. Implementar de inmediato las soluciones temporales
  2. Instalar la actualización tan pronto sea posible

 

 

 

Cómo protegerme: Implementando de inmediato las soluciones temporales

Las soluciones temporales no corrigen la vulnerabilidad subyacente pero ayudan a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las siguientes soluciones temporales:

 

 

Solución #1: Deshabilitar Terminal Services, Escritorio remoto, Asistencia remota y la característica Lugar de trabajo remoto en Web de Windows Small Business Server 2003 si ya no se necesitan

Solución # 2: Bloquear el trafico entrante al puerto TCP 3389 en el firewall perimetral de la empresa

El puerto 3389 se usa para iniciar una conexión con el componente afectado. Al bloquear este puerto en el firewall perimetral de la red, se contribuirá a proteger los sistemas situados detrás del firewall frente a los intentos de aprovechar esta vulnerabilidad. Esto puede proteger a las redes de los ataques que se originan fuera del perímetro de la empresa.

Para Windows XP y Windows 2003 Server: En Windows XP y Windows Server 2003, el Firewall de Windows puede proteger los sistemas individuales. De forma predeterminada, Firewall de Windows no permite conexiones a este puerto, menos en Windows XP Service Pack 2 cuando la característica de Escritorio remoto está habilitada. Para obtener información acerca de cómo deshabilitar la excepción de Firewall de Windows para Escritorio remoto en estas plataformas, vea el artículo de TechNet Habilitar o deshabilitar la regla de firewall de Escritorio remoto.

Para Windows Small Business Server 2003: Windows Small Business Server 2003 usa una característica denominada Lugar de trabajo remoto en Web. Esta característica usa el puerto TCP 4125 para escuchar conexiones RDP. Si usa esta característica, debe validar que este puerto también esté bloqueado para Internet además del puerto 3389.

Nota Es posible cambiar manualmente los componentes afectados para que usen otros puertos. Si ha realizado estas acciones, también debe bloquear esos puertos adicionales.

Solución #3: Habilitar la autenticación de nivel de red en sistemas que ejecuten ediciones compatibles de Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2

Puede habilitar la autenticación de nivel de red para impedir que los atacantes no autenticados aprovechen esta vulnerabilidad. Con la autenticación de nivel de red activada, un atacante primero debería autenticarse en Servicios de Escritorio remoto mediante una cuenta válida en el sistema de destino para que pudiera aprovechar la vulnerabilidad.

 

En el artículo 2671387 de Microsoft Knowledge Base hay disponible una solución Microsoft Fix it que automáticamente habilita esta solución temporal.

 

Para usar la autenticación de nivel de red, el entorno debe cumplir los siguientes requisitos:

  • El equipo cliente debe usar como mínimo Conexión a Escritorio remoto 6.0.
  • El equipo cliente debe usar un sistema operativo, como Windows 7 o Windows Vista, que admita el protocolo de proveedor de compatibilidad para seguridad de credenciales (CredSSP).
  • El servidor host de la sesión de Escritorio remoto debe ejecutar Windows Server 2008 R2 o Windows Server 2008.

 

Consecuencias de la solución provisional. Los equipos cliente que no admiten el protocolo de proveedor de compatibilidad para seguridad de credenciales (CredSSP) no podrán obtener acceso a los servidores protegidos con la autenticación de nivel de red. Nota Para los administradores que implementen esta solución provisional en un entorno de red mixto donde los sistemas Windows XP Service Pack 3 deban usar Escritorio remoto, vea el artículo de Microsoft Knowledge Base 951608 para obtener información acerca de cómo habilitar CredSSP en Windows XP Service Pack 3.

Para obtener más información acerca de la autenticación de nivel de red, incluido el modo de habilitar dicha autenticación mediante Directiva de grupo, vea el artículo de Technet Configurar la autenticación de nivel de red para las conexiones de Servicios de Escritorio remoto.

 

 

 

 

Cómo protegerme: Instalando la actualización tan pronto sea posible

Las actualizaciones de seguridad se pueden descargar del Catálogo de Microsoft Update. Microsoft siempre recomienda a sus clientes hacer pruebas en un laboratorio / entorno de pruebas controlado antes de liberar sus actualizaciones en el entorno de producción. En el caso de esta actualización, recomendamos darle la más alta prioridad, de manera que sea probada y liberada en producción lo antes posible.

 

 

 

 

Como siempre, si tiene problemas al bajar o instalar la actualización MS12-020 o cualquier otra actualización, o problemas después de instalarlas,  tiene derecho a recibir soporte gratuito de seguridad Microsoft. el soporte lo pueden obtener aqui:

–Para usuario final: http://www.microsoft.com/latam/protect/support/default.mspx

–Para usuario corporativo: http://support.microsoft.com/default.aspx?ln=ES-LA

–Teléfonos de las líneas de soporte en Latinoamérica: http://support.microsoft.com/gp/contactusen/?ln=es-la

es importante que tenga en cuenta que el soporte gratuito de seguridad también aplica para cualquier caso de seguridad y de malware (virus, troyanos, gusanos, etc.) sin importar que marca de antivirus use. Así que si ha sido afectado (o sospecha que han sido afectado) por un ataque de seguridad o por malware, no vacile en contactarnos. Nuestros ingenieros de soporte harán la investigación respectiva para determinar si el caso es o no un problema de seguridad y/o de malware, y en caso afirmativo, le darán pronta solución al problema.

También quiero aprovechar para exterder una invitación para que nos sigan en twitter en los siguientes alias:

@LATAMSRC Información OFICIAL de Microsoft sobre alertas de seguridad, advisories, y boletines. Bajo volumen de twits (cuando se emitan alertas). En español.

@rarbelaez Información general de Seguridad. Alto volumen de twits. En español e inglés.

Saludos,

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

Microsoft Corp.