Parches de Vulnerabilidad Crítica para Windows Vista

By /

La Imperiosa Necesidad de Parches en Sistemas Operativos Antiguos

Incluso cuando un sistema operativo ha alcanzado el fin de su ciclo de vida de soporte, como Windows Vista, la presencia de vulnerabilidades críticas puede requerir la aplicación de parches de seguridad para mitigar riesgos significativos. Microsoft, en situaciones de extrema gravedad, ha llegado a lanzar parches para sistemas operativos que dejó de ofrecer soporte hace mucho tiempo, como ocurrió con Windows XP debido a la vulnerabilidad BlueKeep.

Para los usuarios que aún dependen de Windows Vista, es crucial entender los riesgos que conlleva operar un sistema sin soporte continuo y las acciones necesarias para protegerse de las vulnerabilidades conocidas. Debe ser una prioridad para los clientes que tienen versiones anteriores del software migrar a versiones admitidas para evitar la posible exposición a vulnerabilidades.

Esquema de la línea de tiempo de soporte de Windows, mostrando versiones sin soporte

Vulnerabilidades Recientes y Críticas que Afectan a Windows Vista

Windows Vista, a pesar de su antigüedad, ha sido objeto o afectado por varias vulnerabilidades graves. Comprender estas amenazas es el primer paso para proteger los sistemas que aún lo utilizan.

BlueKeep (CVE-2019-0708): La Amenaza del Protocolo de Escritorio Remoto (RDP)

BlueKeep (CVE-2019-0708) es una vulnerabilidad crítica en el protocolo de escritorio remoto (RDP) que puede afectar a varios sistemas operativos Windows, incluyendo Windows Vista, Windows 7, Windows XP, Server 2003 y Server 2008. Esta vulnerabilidad, presente en el componente de servicios de escritorio remoto, funciona como una autenticación previa y no requiere la interacción del usuario. Se trata de una vulnerabilidad de Ejecución Remota de Código (RCE) que se puede aprovechar de forma remota mediante el envío de solicitudes especialmente diseñadas a través del protocolo RDP a un sistema objetivo.

La vulnerabilidad BlueKeep es "wormable" (gusano), lo que significa que el malware que la explota podría propagarse de un equipo vulnerable a otro de una manera similar al ataque de ransomware WannaCry en 2017. Los investigadores de seguridad temen que BlueKeep (CVE-2019-0708) podría ser el próximo WannaCry, generando pérdidas y dejando a miles de organizaciones desamparadas.

Según Microsoft, un atacante podría aprovechar la vulnerabilidad BlueKeep RDP para enviar paquetes de malware especialmente diseñados a equipos Windows sin parches que tengan el RDP expuesto. Después de enviar los paquetes, el atacante puede realizar una serie de acciones, que incluyen agregar nuevas cuentas de usuario, instalar programación maliciosa y realizar cambios en los datos. Los atacantes que explotan BlueKeep podrían piratear una computadora sin los parches o actualizaciones adecuados instalados. Ha habido informes de que los atacantes utilizan escaneos de puertos para detectar posibles vulnerabilidades de BlueKeep en los sistemas operativos Windows.

Para mitigar la vulnerabilidad BlueKeep, Microsoft publicó un parche para los servicios de escritorio remoto. Si su equipo ejecuta sistemas operativos Windows como Windows Vista, se recomienda seguir la guía de instalación de parches de Microsoft para implementar los parches de BlueKeep.

Diagrama que ilustra el ataque BlueKeep a través de RDP

Vulnerabilidades en el Bloque de Mensajes del Servidor (SMBv2)

Se han identificado múltiples vulnerabilidades en el bloque de mensajes del servidor versión 2 (SMBv2) que afectan a Windows Vista y Windows Server 2008. Estas incluyen una vulnerabilidad de Denegación de Servicio (DoS) y una de Ejecución Remota de Código (RCE) no autenticada.

  • Vulnerabilidad de Denegación de Servicio (DoS): Esta vulnerabilidad surge en la forma en que el software del protocolo SMBv2 maneja paquetes especialmente diseñados. Un atacante no autenticado podría aprovecharla enviando un mensaje de red manipulado a un equipo que ejecuta el servicio Server, causando que el sistema afectado deje de responder hasta que se reinicie manualmente.
  • Vulnerabilidad de Ejecución Remota de Código (RCE): Otra falla grave permite la ejecución remota de código no autenticada si un atacante envía un paquete SMB especialmente diseñado a un equipo con el servicio Server. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado.

El Bloque de Mensajes del Servidor (SMB) es el protocolo de uso compartido de archivos predeterminado en equipos basados en Windows. SMBv2 es una actualización de este protocolo, compatible con sistemas como Windows Vista, Windows 7 y Windows Server 2008. Si el cliente o el servidor no pueden admitir SMBv2, se utiliza SMB 1.0. La versión del protocolo se decide durante la fase de negociación: un cliente de Windows Vista anuncia su capacidad SMBv2; si el servidor lo entiende, se elige SMBv2, de lo contrario, ambos usan SMB 1.0.

La actualización de seguridad de Microsoft para estas vulnerabilidades corrige la forma en que SMBv2 valida los campos dentro de los paquetes, controla los valores de comando y analiza los paquetes especialmente diseñados.

Vulnerabilidad de Ejecución Remota de Código en IPv6 (CVE-2024-38063)

Una vulnerabilidad reciente descubierta en IPv6, identificada como CVE-2024-38063, es una amenaza de tipo "zero-click" de ejecución remota de código (RCE) que afecta a todos los sistemas Windows con IPv6 habilitado, lo que incluye a Windows Vista. Este fallo de seguridad está relacionado con un desbordamiento de enteros (Integer Underflow CWE-191) y se ha calificado como crítico con una puntuación CVSSv3 de 9,8.

La vulnerabilidad es "wormable" (gusano), implicando que podría propagarse automáticamente entre sistemas vulnerables sin interacción del usuario. Si un atacante logra explotarla, podría ejecutar código en el sistema objetivo con privilegios de SYSTEM, obteniendo control completo de la máquina comprometida. Un detalle importante es que desactivar IPv6 en el cortafuegos de Windows no evitará la explotación, ya que la vulnerabilidad se activa antes de que los paquetes sean procesados por el cortafuegos.

Esquema de la pila de red mostrando el punto de explotación de IPv6

Agujero de Seguridad en Internet Explorer (Reportado por IBM)

Investigadores del departamento de seguridad informática de IBM descubrieron una falla que afecta a todas las versiones de Windows desde 1995, incluyendo Windows Vista, y específicamente a los navegadores Internet Explorer 3.0 en adelante. Este agujero de seguridad propicia ataques remotos mediante la ejecución de código malicioso, obligando a Windows a visitar una URL manipulada. La vulnerabilidad ha sido calificada con 9.3 puntos sobre 10 por el CVSS, y Microsoft lanzó parches para Windows 8.1, Windows 7 y Windows Vista.

Estrategias de Parcheo y Mitigación Específicas para Windows Vista

Dada la naturaleza crítica de estas vulnerabilidades, es fundamental implementar las medidas de protección disponibles, incluso en sistemas operativos sin soporte oficial.

Aplicación de Parches y Actualizaciones

Microsoft ha proporcionado actualizaciones de seguridad para Windows Vista para abordar algunas de estas vulnerabilidades. Se recomienda a los usuarios:

  • Actualización Automática: Asegurarse de tener la actualización automática habilitada para que los parches de seguridad se descarguen e instalen sin intervención.
  • Actualización Manual: Si la actualización automática no está habilitada, verificar manualmente las actualizaciones e instalarlas a través de Microsoft Update, Windows Update o el Centro de descarga de Microsoft.

Para las vulnerabilidades de SMBv2, es posible actualizar el sistema sin reiniciar completamente. Para ello, debe reiniciar el controlador SMB 2.x del servidor y todos los servicios que dependen de este controlador después de aplicar la actualización. Si la actualización se instala automáticamente, es probable que se le solicite reiniciar el sistema. Sin embargo, si la aplica manualmente, es posible que el sistema no notifique que se requiere un reinicio, aunque sea necesario para que el parche surta efecto completo.

Actualizar certificados Windows XP, Vista y 7 (Actualizacion del video anterior)

Soluciones Alternativas y Configuraciones de Seguridad

Cuando un parche no está disponible de inmediato o para reducir la superficie de ataque, se pueden aplicar soluciones alternativas:

Para vulnerabilidades SMBv2:

  • Desactivar SMBv2: Esto forzará al host a comunicarse mediante SMB 1.0, lo que puede ayudar a mitigar el riesgo. Esta acción no debería afectar a los servicios básicos como el uso compartido de archivos e impresoras. Para aplicar esta solución:
    1. Abra MMC de administración de equipos.
    2. Vaya a Servicios y aplicaciones, haga clic en Servicios.
    3. Haga clic con el botón derecho en el nombre del servicio Servidor y haga clic en Reiniciar.
  • Bloquear puertos TCP 139 y 445: Estos puertos se utilizan para iniciar una conexión con el componente afectado. Bloquearlos en el firewall ayudará a proteger los sistemas que están detrás de ese firewall de intentos de aprovechar estas vulnerabilidades. Sin embargo, el bloqueo de la conectividad a estos puertos puede provocar que varias aplicaciones o servicios de Windows no funcionen. Para deshacer esta solución, desbloquee los puertos TCP 139 y 445 en el firewall.

Para la vulnerabilidad IPv6 (CVE-2024-38063):

En caso de no poder actualizar de inmediato, Microsoft sugiere desactivar IPv6 para reducir la superficie de ataque. Tenga en cuenta que desactivar IPv6 en el cortafuegos de Windows no evitará la explotación, ya que la vulnerabilidad se activa antes de que los paquetes sean procesados por el cortafuegos.

Pasos para deshabilitar IPv6:

  1. Haz clic en el menú Inicio y selecciona Configuración, luego haz clic en Red e Internet.
  2. Después, haz clic en Cambiar opciones del adaptador.
  3. En la sección de Estado, haz clic en Cambiar opciones del adaptador.
  4. Seguidamente, haz clic derecho sobre el adaptador o conexión de red que estés utilizando (por ejemplo, Ethernet o Wi-Fi) y selecciona Propiedades.
  5. En la lista de elementos, desmarca la casilla junto a Protocolo de Internet versión 6 (TCP/IPv6).
  6. Finalmente, haz clic en Aceptar para aplicar los cambios.

Microsoft recomienda bloquear todas las comunicaciones entrantes no solicitadas desde Internet para ayudar a evitar ataques que pueden usar otros puertos.

La Realidad de Operar Sistemas Operativos Sin Soporte

Operar Windows Vista, un sistema operativo que ha superado su ciclo de vida de soporte técnico, expone a los usuarios a riesgos significativos. Las vulnerabilidades descubiertas después de que Microsoft deja de ofrecer soporte ya no reciben parches oficiales, dejando los sistemas permanentemente expuestos a ataques. Las personas que aún utilizan sistemas Windows no compatibles podrían estar en riesgo si no actualizan su dispositivo a la última versión o implementan medidas de seguridad adicionales robustas.

La prioridad debe ser siempre migrar a versiones de software compatibles y actualizadas para garantizar una protección continua. Para aquellos que requieran soporte técnico personalizado para versiones anteriores, Microsoft ofrece opciones a través de sus representantes de cuenta o socios.

tags: #parche #vulnerabilidad #windows #vista

Publicaciones populares:

  • Análisis de Años Dorados vs. Ensure Advance
  • Accesorios para Baños Accesibles
  • Servicio de Escaneo
  • Rol de las Comisiones Médicas en evaluación de invalidez
  • Herramienta para la resiliencia