martes, 5 de noviembre de 2019

Habilitar la Autenticación a Nivel Red (NLA) para conexiones de Servicios de Escritorio Remoto

Autenticación a Nivel Red (NLA) para conexiones de Servicios de Escritorio Remoto VS BlueKeep


Recientemente el equipo de Microsoft DART (Detection and Response Team) publicó medias para para evitar afectaciones a servidores vulnerables a BlueKeep (2019-0708) en los servicios de Escritorio Remoto debido a que se han liberado explois públicos y se ha detectado los primeros ataques masivos a nivel mundial, esta vulnerabilidad es de nivel de riesgo alto debido a que es escalable y se puede ejecutar código remoto sin autenticación.

Las versiones afectadas de Windows son Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 y todas las versiones compatibles de Windows 10.

Las medidas que recomienda el equipo de Microst DART (Detection and Response Team) fuerón las siguientes:

1. Deshabilitar los servicios de escritorio remoto, expuestos desde Internet.
2. Limitar mediante el Firewall perimetral empresarial el acceso al puerto 3389.
2. Instalar los parches de seguridad recientemente liberados por Microsoft.
3. Implementar la autenticación de doble factor.

Y por ultimo, habilitar la Autenticación a Nivel Red (NLA), esto obliga a los usuarios a autenticarse antes de conectarse a sistemas remotos, lo que disminuye drásticamente la posibilidad de éxito de la explotación de la vulnerabilidad, el DART recomienda ampliamente habilitar esta medida ya que ayuda a mitigar una gran cantidad de ataques.

Para sistemas empresariales, se puede habilitar mediante un Objeto de Política de Grupo (GPO):

Vamos a la ruta Policy > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host >Security


Por ultimo habilitaremos Require user authentication for remote connections by using Network Level Authentication.


La ventaja de habilitar NLA a nivel GPO de seguridad en todo lo servidores y equipos, es que la vulnerabilidad quedara parcialmente mitigada hasta que se instalen los parches de seguridad correspondientes y si se llegase a comprometer algún servidor o equipo no se podrá escalar a otros dentro de la red con la misma vulnerabilidad.

Referencias:
https://www.microsoft.com/security/blog/2019/08/08/protect-against-bluekeep/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/





Etiquetas:

entrada de IvánHT @ noviembre 05, 2019   0 comentarios

0 comentarios:

Publicar un comentario

Suscribirse a Enviar comentarios [Atom]

<< Inicio