Alertas de seguridad

Vulnerabilidad de elevación de privilegios de Windows

Existe una vulnerabilidad de ejecución remota de código en los Servicios de Escritorio Remoto, anteriormente conocidos como Servicios de Terminal Server, cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía solicitudes especialmente diseñadas, también conocidas como 'Remote Desktop Services o Remote Code Execution Vulnerability'. Este ID de CVE es único de CVE-2019-1182, CVE-2019-1222, CVE-2019-1226.

elevacion privilegios semana 35

 
Acciones recomendadas

Microsoft recomienda como mitigación deshabilitar los servicios de escritorio remoto si no son requeridos, o bien, como solución alternativa si lo anterior no es aceptable, puede realizar lo siguiente:

1. Habilite la autenticación de nivel de red (NLA)

Puede habilitar la Autenticación de nivel de red para impedir que los atacantes no autenticados exploten esta vulnerabilidad. Con NLA activado, un atacante primero necesitaría autenticarse en los Servicios de Escritorio Remoto usando una cuenta válida en el sistema de destino antes de que el atacante pudiera explotar la vulnerabilidad.

2. Bloquee el puerto TCP 3389 en el firewall perimetral de la empresa

El puerto TCP 3389 se usa para iniciar una conexión con el componente afectado. Bloquear este puerto en el firewall del perímetro de la red ayudará a proteger los sistemas que están detrás de ese firewall de los intentos de aprovechar esta vulnerabilidad. Esto puede ayudar a proteger las redes de ataques que se originan fuera del perímetro de la empresa. Bloquear los puertos afectados en el perímetro de la empresa es la mejor defensa para ayudar a evitar ataques basados en Internet. Sin embargo, los sistemas aún podrían ser vulnerables a los ataques desde el perímetro de su empresa.