Mientras los expertos trabajan para hacer el software más seguro, los ciberdelincuentes siempre encuentran nuevas formas de explotarlo. Esta vez, el foco está en AnyDesk, una de las herramientas de acceso remoto más usadas, que ha sido afectada por una vulnerabilidad crítica: CVE-2024-12754.
El investigador de seguridad Naor Hodorov ha publicado un análisis detallado sobre esta falla, que podría permitir a un usuario con pocos privilegios elevar sus permisos y tomar el control total del sistema. Lo más preocupante es que ya existe un exploit público, lo que aumenta el riesgo de ataques en cualquier momento. Si usas AnyDesk, esto te interesa. ¿Qué tan grave es esta vulnerabilidad? ¿Cómo puedes protegerte?
¿Cómo funciona la vulnerabilidad CVE-2024-12754 en AnyDesk?
La vulnerabilidad en AnyDesk (CVE-2024-12754) aprovecha un problema con la forma en que el software maneja ciertos archivos cuando se ejecuta con los permisos más altos del sistema. En términos simples, AnyDesk, que funciona con privilegios de NT AUTHORITY\SYSTEM (el nivel más alto en Windows), puede copiar archivos a una ubicación accesible para usuarios con permisos limitados. ¿El problema? Esto permite sobrescribir archivos existentes sin perder los permisos originales, lo que abre la puerta a posibles ataques.
Según el investigador Naor Hodorov, el truco está en cómo AnyDesk maneja la imagen de fondo del usuario. Cuando un usuario con pocos privilegios cambia su fondo, el servicio de AnyDesk lo copia automáticamente en C:\Windows\Temp, manteniendo el nombre original y pasando a ser propiedad del sistema. Aunque los usuarios normales tienen acceso restringido a esta carpeta, sí pueden crear y escribir archivos en ella.
Aquí es donde entra en juego la vulnerabilidad: un atacante puede crear un archivo con el mismo nombre que el destino en C:\Windows\Temp antes de que AnyDesk haga la copia. Cuando el servicio copia la imagen de fondo, sobrescribe el archivo preparado por el atacante y le deja el control total sobre él, pero ahora con permisos NT AUTHORITY\SYSTEM.
Hodorov demostró que esta técnica puede usarse para acceder a archivos críticos del sistema como SAM, SYSTEM y SECURITY, que almacenan credenciales de usuario y otra información sensible. Si un atacante logra explotar esto, podría extraer contraseñas y tomar el control total del sistema.
Afortunadamente, AnyDesk solucionó este problema en la versión v9.0.1, por lo que actualizar el software es clave para evitar riesgos. Este caso es un recordatorio de lo fácil que una funcionalidad aparentemente inofensiva (como cambiar un fondo de pantalla) puede convertirse en una grave amenaza de seguridad cuando se combinan ciertos factores del sistema.
Podría interesarte leer: Hackers usan Microsoft Teams y AnyDesk para distribuir DarkGate
¿Cómo protegerse de la vulnerabilidad CVE-2024-12754?
Dado que el exploit ya está disponible, es fundamental tomar medidas de seguridad lo antes posible para minimizar el riesgo de ataque.
1. Actualizar AnyDesk a la última versión
La mayoría de los desarrolladores de software lanzan parches de seguridad rápidamente cuando se detectan fallos críticos. Para actualizar AnyDesk:
- Visita el sitio web oficial de AnyDesk.
- Descarga e instala la versión más reciente.
- Verifica en la configuración de AnyDesk que las actualizaciones automáticas estén habilitadas.
2. Restringir privilegios de usuario
Una de las mejores prácticas de seguridad es limitar los privilegios de usuario dentro del sistema operativo. Asegúrate de que las cuentas de usuario tengan solo los permisos necesarios y evita el uso de cuentas con privilegios administrativos a menos que sea estrictamente necesario.
3. Monitorizar accesos remotos
Para detectar actividad sospechosa en AnyDesk, revisa regularmente los registros de acceso remoto y habilita notificaciones cuando se establezca una conexión.
4. Implementar soluciones de seguridad avanzadas
Usar un antivirus y firewall actualizados puede ayudar a bloquear intentos de explotación de vulnerabilidades. Además, herramientas de monitoreo de red pueden detectar comportamientos inusuales en conexiones remotas.
5. Deshabilitar AnyDesk cuando no esté en uso
Si no necesitas utilizar AnyDesk constantemente, considera deshabilitar el servicio o desinstalarlo en dispositivos donde no sea esencial. Esto reduce la superficie de ataque y minimiza el riesgo de explotación.
Conclusión
La vulnerabilidad CVE-2024-12754 en AnyDesk es un problema serio, ya que permite que atacantes obtengan permisos elevados y control total de un sistema. Como ya hay un exploit público, el riesgo de ataques es alto y puede aumentar en los próximos días.
La mejor forma de protegerse es actualizar AnyDesk de inmediato, restringir los privilegios de usuario y monitorear los accesos remotos. Tanto usuarios como empresas deben tomar esto en serio y aplicar medidas de seguridad cuanto antes.
