29 de julio de 2019 Actualización: Con más de 800.000 sistemas Windows aún sin parchear y vulnerables (a fecha de 2 de julio), la preocupación por BlueKeep sigue siendo alta, especialmente después de que una guía detallada sobrecómo escribir un exploit se publicó en línea la semana pasada. Otros indicios de que la vulnerabilidad no está pasando desapercibida son la publicación de un explo it y el descubrimiento de malware que busca ordenadores vulnerables. Actualice ya sus sistemas afectados y verifique sus capacidades de recuperación.
Una vulnerabilidad de Windows abre la puerta al próximo WannaCry
Han pasado poco más de dos años desde WannaCry, el ransomware que aprovechó la vulnerabilidad EternalBlue para infectar cientos de miles de ordenadores en todo el mundo e infligir unos daños estimados en 8.000 millones de dólares.
Si la historia se repite, nos espera otro asalto en los próximos 30 días.
El 14 de mayo, Microsoft publicó correcciones para una vulnerabilidad crítica de ejecución remota de código(CVE-2019-0708) -un error ahora conocido como BlueKeep- e instó a los clientes a actualizar todos los sistemas afectados lo antes posible.
La semana pasada, la Agencia de Seguridad Nacional de Estados Unidos (NSA) emitió su propio aviso sobre ciberseguridad en el que reiteraba la necesidad de tomar medidas.
Los ataques de WannaCry comenzaron 59 días después de que Microsoft publicara las correcciones para EternalBlue. Si aplicamos un plazo similar a BlueKeep, podríamos empezar a ver ataques en julio, justo a tiempo para arruinar nuestras vacaciones de verano. Por supuesto, el plazo podría ser menor... o mayor.
¿Estamos preparados?
La cuestión no es sólo si hemos actualizado los sistemas afectados: la aplicación oportuna de parches es extremadamente importante, pero no es suficiente. La preparación también requiere disponer de un proceso de recuperación reforzado para aquellos casos en los que -a pesar de nuestros mejores esfuerzos o debido a vulnerabilidades recién descubiertas- los atacantes consiguen entrar.
Tanto si está afectado por BlueKeep como si no, es un buen momento para revisar su proceso de recuperación. Algunas cosas a tener en cuenta:
- ¿Podemos acceder a nuestras copias de seguridad? Los atacantes no sólo van a por nuestras aplicaciones y datos de producción, sino también a por nuestras copias de seguridad o, colateralmente, a por los sistemas que las alojan. Asegúrese de almacenar las copias de seguridad (o copias de seguridad) donde el ransomware y los ataques wiper no puedan alcanzarlas.
- Qué hacer si las copias de seguridad están infectadas. Muchas copias de seguridad incluyen archivos ejecutables, archivos de arranque y otros archivos del sistema operativo en los que pueden esconderse rootkits y otros programas maliciosos. Restaurar sistemas a partir de estas copias de seguridad también restaura el malware presente cuando se realizó la copia de seguridad. Esto aboga por tener una forma de recuperar los sistemas que no dependa de recuperar el sistema operativo original.
- ¿Podemos cumplir los objetivos de tiempo de recuperación (RTO) de las aplicaciones críticas? Identifique sus procesos de negocio críticos y las aplicaciones necesarias para soportarlos. Haga un mapa de la infraestructura de la que dependen esas aplicaciones y asegúrese de incluir el tiempo de recuperación de esa infraestructura. Por ejemplo, Active Directory es uno de los primeros servicios que debe cubrir, ya que la mayoría de las aplicaciones dependen de él.
También es un buen momento para hablar con la dirección sobre ciberresiliencia: esta última vulnerabilidad de seguridad proporciona un contexto real para el debate. Ponte en contacto con la dirección de forma proactiva e infórmales del problema, de tu exposición y de lo que falta en tu plan de recuperación.
Una rápida búsqueda en Internet puede proporcionar material para el debate. He aquí un par de artículos que son particularmente "amigables" para la administración: Advertencia de Microsoft, Aviso de ciberseguridad de la NSA
No cabe duda de que se escribirá más si (cuando) comienzan los ataques que explotan BlueKeep.
¡Prepárate!
