Cuando en 2017 apareció EternalBlue no penséis que cundió el pánico y que la gente empezó a correr hacía sus refugios subterráneos a prepararse para The Walking Dead.
Eso vino luego.
Recordemos que la vulnerabilidad, que afectaba al protocolo SMB, había sido parcheada el 14 de marzo ya por Microsoft y el exploit de la NSA fue filtrado por Shadow Brokers el 14 de abril. Es cierto que debido al protocolo, salvo casos de inconsciencia absoluta su explotación desde la parte externa de la red, no era posible, así que pasó como siempre, que el mundo siguió girando y nadie le prestó atención.
Nadie excepto presuntamente un norcoreano llamado Park Jin Hyok, el cual se puso las pantuflas de programar malware y se sacó de la chistera el infame Wannacry, el cual siempre era ejecutado en la parte INTERNA de la red, ya que usaba técnicas de infección como si fuera un troyano (venía de regalo con otros archivos) y de dispersión como gusano (usaba EternalBlue para propagarse por la red de la victima).
Y entonces la gente SI empezó a correr. Miles y miles de sistemas afectados, perdidas millonarias, grandes e importantes empresas completamente paradas…y eso solo fue la punta del iceberg.
Al principio la explotación tenía su complejidad, que al fin y al cabo lo habían robado a la NSA junto a su framework de exploting y esa gente no son muy amigos de repartir documentación.
Después el exploit se hizo mainstream y fue incorporado a metasploit, donde cualquiera en un día de lluvia puede ponerse a ejecutarlo sin muchos problemas.
Gracias a ello, cualquiera que se encuentre una maquina vulnerable (y aun ahora, siguen existiendo…) puede tomar el control en menos tiempo de lo que cuesta explicarle a mi madre como mover las fotos de las vacaciones de una carpeta a otra.
Aceleremos un poco el tiempo. En mayo del año pasado se reporta BlueKeep, una vulnerabilidad igual de crítica que EternalBlue pero que afecta al protocolo RDP.
¿Qué significa esto? Significa que es una situación como Wannacry pero PEOR.
En la situación anterior estaba afectado el protocolo que utilizamos (entre otras cosas) para compartir archivos a través de la red local y acceder a dispositivos, pero ahora estamos hablando del protocolo de acceso remoto por excelencia en todos los sistemas Microsoft. Todas las maquinas importantes lo tienen activado para poder ser gestionadas desde cualquier lugar…y lo que es peor, mucha gente publica estos servicios hacia el exterior de una forma totalmente indiscriminada.
Hay miles de pequeñas y medianas empresas que mantienen estos servicios publicados alegremente hacia el exterior para facilitar sus tareas de mantenimiento en los servidores críticos, y a diferencia de lo ocurrido en el 2017, aquí no ha habido ningún malware famoso con gran repercusión mediática…por lo tanto mucha gente ni siquiera se ha asustado lo suficiente como para parchear.
Estas empresas, ajenas al peligro que corren, probablemente ya hayan sido atacadas sin que se den cuenta, ya que a diferencia de EternalBlue, BlueKeep esta siendo usada para implantar backdoors, servicios de minado de criptomonedas o para labores de espionaje. Muchos investigadores de ciberseguridad y varias empresas del sector ya han advertido de esto.
Por si fuera poco, a finales del año pasado surgió un exploit funcional, y fue incorporado a metasploit. El exploit aún es una prueba de concepto, y sus requisitos para hacerlo funcionar es conocer ciertas posiciones de memoria en la maquina victima que son distintas en función de la versión del sistema operativo y si ejecuta hardware físico o virtualizado…si no lo que ocurre es que provocamos una de esas fantásticas pantallas azules de Windows, básicamente, se convierte en una herramienta de denegación de servicio. Es el problema de no usar correctamente el exploit.
¿Y que creéis que empezó a pasar en cuanto se publicó? Que miles de maquinas con el RDP expuesto empezaron a caer masivamente como fichas de dominó. La gente ya había empezado a hacer pruebas.
Y con eso llegamos a la fecha actual. Año 2020, del COVID-19, donde millones de empresas se han visto obligadas a reorganizar sus metodologías de trabajo debido a un virus nada informático…donde han publicado sistemas de gestión remota como RDP exponiéndolos directamente a ese abismo de internet… y como ya bien sabía Nietzsche cuando miras el abismo, este te devuelve la mirada…
Ese momento llegará pronto, en cuanto los exploits disponibles dejen de ser meras pruebas de concepto y se conviertan en algo mainstream. Todo el mundo debería estar preparado para ello.
En un futuro no muy lejano, veremos BlueKeep desencadenado.
Consultor de Ciberseguridad y Responsable del Departamento de Auditoría y Pentesting en Global Technology