Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de alertas

RDP en windows xp , windows server y windows 7 vulnerables, y agujeros última actualización windows 10

Os dejo enlace donde se dice que el RDP es vulnerable, conexión remota a nuestro PC, aconsejamos que utilicéis VPN previo a RDP si no hay mas remedio, podéis leer el
artículo:
https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-en-servicios-de-escritorio-remoto-de-microsoft-actualice-ahora/

  así que si tienes windows 7, server o windows xp parchea/actualiza según aparece en este artículo . Desde seguridad se están pasando
escaneo para ver las vulnerabilidades de vuestros equipos, ya se ha detectado bastantes. Os llegará correo de incidente de seguridad si se
detecta algo.

   Por otra parte  avisamos de otro artículo donde dice que la última actualización de windows 10, la de mayo que fué global, tiene agujeros
de seguridad:

https://computerhoy.com/noticias/tecnologia/windows-10-llena-agujeros-seguridad-429769

así que de momento no actualizar a la última, esperar un poco.

Con Respecto al RDP esto es lo que estamos enviando en las incidencias de seguridad como ayuda:
Hemos detectado que su sistema operativo Windows no está actualizado y que tiene habilitado el servicio de escritorio remoto de Windows. En concreto le falta el parche para la vulnerabilidad CVE-2019-0708, este permite a un atacante no autenticado realizar la ejecución de código remotamente con los privilegios más elevados del sistema, con lo que podría tomar de manera efectiva el control total del mismo y causar afectaciones, como robo de información y otros daños

Debe actualizar URGENTEMENTE su Windows ejecutando la opción de actualización del mismo (panel de control/Windows update). Así mismo le recomendamos que programe las actualizaciones para que se produzcan de forma automática. 
 
Si su equipo es un Windows que ya no reciben soporte estándar (XP, Server 2003 y Vista) y del que NO SE RECOMIENDA su uso, Microsoft ha publicado el siguientes parches de seguridad que puede descargar y ejecutar desde https://support.microsoft.com/es-es/help/4500705/customer-guidance-for-cve-2019-0708

A continuación pase el antivirus a su equipo por si le hubieran descargado un virus a su equipo, al permitir dicha vulnerabilidad el poder subir y ejecutar archivos en su equipo.

Es muy recomendable limitar las IP's que pueden conectarse a su equipo y no estar expuestos a ataques. Para ello debe indicar al cortafuegos de Windows que solo permita conexiones al puerto 3389 a las IP's de los equipos a los que autorice su conexión. Los pasos serían:
 1. Abrir el programa Windows Firewall with Advanced Security o en castellano Firewall de Windows con seguridad avanzada.
 2. Entramos en reglas de entrada y localizamos el acceso a escritorio remoto entre el inmenso número de entradas. Para ayudarnos un poco ordenamos por Puerto local (pulsamos un clic sobre el título de dicha columna) y localizamos el 3389, que es el que usa el RDP.
 3. Veremos que hay una regla RDP para TCP y otra para UDP.
 4. Hemos de incluir las IP autorizadas. Para ello primero hacemos doble click sobre una de las reglas y en la pantalla que aparece seleccionamos la pestaña Ámbito. Incluimos la/s IP/s autorizadas en Dirección IP remota y aceptamos. Luego hacemos lo mismo con la otra regla, de manera que el acceso a RDP esté limitado a las IPs seleccionadas tanto por el puerto TCP como por el UDP.
 5. Finalmente pulsamos el botón Aceptar y cerramos el cortafuegos.
 
Si precisa hacer conexiones desde fuera de la UGR, como no siempre se conectará con una misma IP, la solución es hacer las conexiones al escritorio remoto a través de VPN (https://csirc.ugr.es/informatica/RedUGR/VPN/ConfVPNSSL/), entonces le debe indicar a su cortafuegos que permita conexiones al rango de IP's 172.20.240.0/20 al puerto 3389 que son las que se le asignará a su equipo cuando se conecte a la VPN de la UGR. 

Cuando realice dicha actualización nos lo indica por email para que verifiquemos que ya no es vulnerable.

Para más información puede consultar: 
https://www.osi.es/es/actualidad/avisos/2019/05/detectada-nueva-vulnerabilidad-en-remote-desktop-services-de-windows
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidad-el-escritorio-remoto-windows-versiones-antiguas
https://www.incibe-cert.es/en/early-warning/vulnerabilities/cve-2019-0708
https://tutoriales.cect.org/limitar-el-acceso-por-remote-desktop-a-una-maquina-windows/

El CCN-CERT publica un informe de buenas prácticas frente al cryptojacking

Publicado el:
lunes, 04 marzo 2019

  • El informe ‘CCN-CERT BP/12. Cryptojacking’ está disponible en la parte pública del portal.
  • Con este documento, el Centro Criptológico Nacional pretende orientar al usuario en el correcto empleo de las tecnologías, para evitar así los riesgos derivados del cryptojacking.
  • Algunos de los puntos tratados en este informe son: objetivos de los ataques, buenas prácticas y detección de cryptominers, monitorización y desinfección, entre otros.

El CCN-CERT ha publicado en su página web el informe ‘CCN-CERT BP/12. Cryptojacking’, un tipo de amenaza que consiste en el uso ilegítimo de un dispositivo electrónico ajeno para obtener criptomonedas. El objetivo de este nuevo informe es servir de orientación y guía para el usuario a través de una serie de recomendaciones y buenas prácticas para evitar ciberataques por parte de cryptominers1

……………….

A modo de resumen, el documento finaliza con un decálogo de recomendaciones en el que se recogen las principales medidas que se aconsejan que adopte el usuario.

CCN-CERT (04/03/2019)

Para ver el comunicado completo pinche aquí.

Envío de falsos presupuestos en Excel como adjuntos maliciosos

 
Desde el INCIBE ( INstituto de CIBErseguridad) nos avisan de esta campaña de correos con ficheros adjuntos Excel con código malicioso.
Suelen suplantar a empresas incitando al receptor a que abra un fichero adjunto en el mail que puede infectar el ordenador.

  Si vemos algo raro aconsejamos que se borren, NO ABRA EL ADJUNTO a no ser que esté muy seguro.

  Si desea ver mas información puede hacerlo en la página web de INCIBE en https://www.incibe.es/content/envio-falsos-presupuestos-excel-adjuntos-maliciosos

Identificado un troyano que cambia con facilidad y emplea la extensión .doc

El CCN no envía esta noticia que creo que debeis saber:

 

Publicado el:
martes, 26 febrero 2019

  • A través de e-mails que fingen ser confirmaciones de compras, los atacantes envían enlaces que descargan automáticamente un documento Word con un malware en un interior.

La empresa de ciberseguridad GreatHorn identificó el pasado miércoles una serie de ataques de malware que cambian rápidamente. Concretamente, estos troyanos se hacen pasar por facturas. Su sofisticación reside, según esta compañía, “en la falta de consistencia de un ataque volumétrico típico, lo cual hace que sea más complicado para las herramientas de seguridad identificarlos y bloquearlos”.

El ataque consiste en el envío de un enlace que descarga automáticamente una plantilla de Word usando la extensión .doc. Este documento es el que contiene el troyano.

A diferencia de muchos ataques que usan un único patrón con ligeras modificaciones, este ataque modifica el asunto del correo (aunque generalmente empleando siempre la palabra ‘recibo’ o ‘factura’), el contenido, las direcciones y los destinos URL.

Hasta el momento, se sabe que estas infecciones vía phishing se envían a empleados de empresas, suplantando la identidad de algún compañero de trabajo, pero usando un correo externo.

GreatHorn (21/02/2019)

Más información