Anda el mundo de la ciberseguridad revolucionado a costa de la última gran vulnerabilidad de Windows que puede generar un problema de seguridad a nivel mundial, incluso peor que el de WannaCry que tumbó medio Internet no hace demasiado. La función de Escritorio Remoto de Windows, o Remote Desktop Protocol (RDP) en inglés, y sus debilidades estarían facultando la existencia de GoldBrute, el ejército de bots que ya está escaneando Internet y promete ser peor que WannaCry.
Investigadores de seguridad acaban de descubrir una gigantesca botnet o ejército de bots que busca atacar ordenadores Windows con conexiones a Escritorio Remoto expuestas en Internet. Por el momento, esta botnet podría atacar a un total de 1.6 millones de ordenadores, aunque es posible que esa cifra aumente en los próximos días.
GoldBrute: todo sobre el ejército de bots que ya está escaneando Internet
El funcionamiento de GoldBrute es muy sencillo. Primero lanza un ataque de fuerza bruta para conseguir acceso a sistemas Windows a través de las vulnerabilidades de Escritorio Remoto. En segundo lugar, descarga el fichero comprimido en ZIP con el código del malware GoldBrute. Empieza a escanear Internet buscando otros equipos que sean vulnerables. Cuando encuentra un total de 80 equipos, manda las direcciones IP a un servidor remoto. Se repite el proceso en cada uno de estos equipos vulnerables.
El problema es que esta botnet no para de crecer y es complicado cuantificar el número de equipos infectados. Otro problema es que, por ahora, es bastante complicado de detener debido al sistema que utiliza en cada equipo infectado y que evita que las soluciones de seguridad puedan acabar con él.
El interés en aprovechar las vulnerabilidades de Escritorio Remoto ha aumentado exponencialmente desde que Microsoft confirmara BlueKeep, un fallo crítico que fue parcheado en mayo. Este estaba presente en Windows XP, Windows 7, Windows Server 2008 y 2008 R2. El otro día comentamos que incluso hay listo un ataque contra Windows 7 y Windows XP aprovechando esta vulnerabilidad.
La “buena” noticia que confirman los investigadores de seguridad es que los ataques contra Escritorio Remoto y los dispositivos vulnerables siguen confiando en la fuerza bruta en lugar de aprovechar fallos críticos como BlueKeep u otros fallos graves en Windows RDP.
Microsoft e incluso la NSA, están pidiendo a todos los usuarios que tomen medidas y apliquen los parches de seguridad. En caso de no utilizar Escritorio Remoto, lo mejor es deshabilitar RDP Escritorio Remoto. Si esto no es posible, se recomienda activar Network Level Authentication (NLA) o bloquear las comunicaciones TCP en el puerto 3389.