Archivo mensual: Agosto 2018

Foreshadow, nueva vulnerabilidad para CPUs de Intel

Para Intel, y para más del mil millones de ordenadores que dependen de sus procesadores, no dejan de surgir vulnerabilidades.
Esta vez, la propia empresa informó de una debilidad llamada Foreshadow/Foreshadow-NG en una tecnología de seguridad llamada Software Guard Extensions (SGX) que se encuentra en sus CPUs desde 2015.
Intel dijo que dos equipos informaron de Foreshadow por primera vez en enero de 2018, vulnerabilidad a la que otorgaron el código CVE-2018-3615.
Al investigar este incidente, los propios expertos de la empresa descubrieron más variantes que extendían la debilidad a los nuevos chips con SGX en máquinas virtuales o hipervisores.
Estas vulnerabilidades recibieron los códigos CVE-2018-3620 y CVE-2018-3646 respectivamente.
Intel conoció la existencia de Foreshadow solo unos días después de que le informaran de las mega-vulnerabilidades Meltdown y Spectre.
Desde entonces, han surgido más problemas en sus CPUs, como informes sobre Spectre-NG en mayo.
¿Qué es Foreshadow?
Foreshadow es una debilidad en la ejecución especulativa del chip que podría permitir a un atacante acceder a datos cifrados que se encuentran en el enclave especial SGX.
Este enclave es una parte de la memoria del chip que está aislada y donde se pueden almacenar datos sensibles, que no pueden ser leídos por otros programas o malware.
La esencia de Foreshadow es que , en teoría, puede copiar estos datos y acceder a ellos en otro lugar.
Foreshadow-NG va un paso más allá al poder acceder a maquinas virtuales que se encuentren en la misma nube poniendo en peligro toda la infraestructura de la nube.
¿Qué CPUs están afectadas?
Si has comprado un ordenador equipado con una CPU Intel a partir de finales de 2015 es muy posible que estés afectado. Las CPUs de AMD y otros fabricantes no usan SGX por lo que no están en peligro.
Intel Core i3/i5/i7/M (45nm y 32nm)Procesadores Intel Core desde segunda a octava generaciónIntel Core X-series para las plataformas Intel X99 y X299Intel Xeon 3400/3600/5500/5600/6500/7500 seriesIntel Xeon E3 v1/v2/v3/v4/v5/v6Intel Xeon E5 v1/v2/v3/v4Intel Xeon E7 v1/v2/v3/v4Intel Xeon Scalable FamilyIntel Xeon D (1500, 2100)
¿Qué hacer?
Los sistemas que ya han aplicado las actualizaciones de Intel a comienzos de año, además de las publicadas por los sistemas operativos (estas son las instrucciones de Microsoft), ya deben estar protegidos contra Foreshadow, según Intel.
Sin embargo, para los centros de procesamiento de datos que tengan hipervisores que sean vulnerables a Foreshadow-NG no es tan sencillo, debido a las razones que Intel explicó en un vídeo.
Al igual que con Meltdown y Spectre, no hay evidencias de que nadie explotara Foreshadow, ni que fuera un objetivo obvio para un atacante ya que hay otras muchas vulnerabilidades más sencillas para sacar provecho.
De todas maneras, aunque estos fallos son teóricos por ahora, parece claro que los fabricantes de chips y sus usuarios tienen bastante trabajo por delante.
Artículo original: https://news.sophos.com/es-es/2018/08/22/todo-sobre-foreshadow-la-nueva-vulnerabilidad-de-las-cpus-de-intel/

SamSam Ransomware ya llega a casi US$6 millones en ganancias

Recientemente Sophos publicó un estudio de este ransomware, incluyendo su método de propagación y ganancias de los atacantes. Considerando la gravedad de los casos como por ejemplo en hospitales, municipalidades y plantas industriales de Estados Unidos. Esta publicación además incluye consejos para evitar este tipo de ataques.
A inicios de 2016 fueron las primeras detecciones del ransomware SamSam, un malware cuyo modo de infección era distinto a todo lo conocido anteriormente. Este ataque utiliza una variedad de herramientas incluodas en Windows para escalar sus propios privilegios y luego analizar la red en búsqueda de objetivos. Luego se copia en cada equipo posible.
Una vez que se ha copiado la carga en los equipos de una red, la instrucción de encriptar se ejecuta considerando el horario local de las maquinas infectadas, con tal de que los administradores se encuentren – literalmente – durmiendo.
Al contrario de otros ransomware, la distribución de SamSam es manual. No existen campañas de spam con adjuntos sospechosos. En este caso el ataque es “a la antigua”, forzando ingresos a puertos RDP expuestos por ejemplo, y explotando vulnerabilidades de los sistemas. SamSam tiene mayor éxito cuando se trata de un sistema con una contraseña fácil de adivinar.
Puntos clave:
SamSam ha recaudado aproximadamente US$6 millones desde fines de 2015.74% de las víctimas conocidas se encuentran en Estados Unidos. Otras regiones afectadas en menor medida son Canada, Reino Unido y el Medio Este.La mayor cantidad pagada por rescate por una víctima individual, hasta ahora, está avaluada en US$64.000, bastante más que la mayoría de las familias de ransomware.Los objetivos han sido organizaciones de sector público en salud, educación y gobierno en un 50%, siendo la otra mitad empresas que no han revelado públicamente detalles de estos ataques.Los atacantes escogen cuidadosamente al objetivo meticulosamente y el proceso de encriptación ocurre en momentos donde el monitoreo de los administradores de sistemas es poco probable.Al contrario de otro ransomware, SamSam no solo encripta documentos, imágenes, datos personales o de trabajo, también encripta archivos de configuración necesarios para ejecutar aplicaciones (como Microsoft Office). De esta forma las estrategias de respaldo comunes quedan obsoletas y la única forma de recuperar el equipo es reinstalando todo.Cada ataque subsiguiente muestra un progreso en la sofisticación de la seguridad operacional del ransomware.El costo para las víctimas ha ido en ascenso permanente, sin señal alguna de un declive en la cantidad de ataques.
Anatomía del ataque
El patrón de ataque mediante SamSam es relativamente predecible, comprendiendo las siguientes 6 etapas:
1.- Identificación y adquisición de objetivo
Para la primera parte aún se desconoce el método exacto, pero una posibilidad muy real es la compra de listados de servidores vulnerables en la dark web, o realizando búsquedas en motores como Shodan o Censys. Lo claro es que se tienda a apuntar a organizaciones de mediano y gran tamaño principalmente en Estados Unidos.
La segunda parte, adquirir el objetivo, es bastante directa, en sus comienzos este ransomware explotaba vulnerabilidades en sistemas JBOSS para adquirir los privilegios con los cuales solía distribuirse. Hoy tiene mayor alcance al utilizar fuerza bruta a cuentas de RDP de Windows.
2.- Penetración de la red
Como ya fue descrito, los atacantes concentran sus esfuerzos en utilizar ataques de fuerza bruta al forzar la entrada en máquinas accesibles en internet usando el protocolo de Escritorio Remoto (RDP). Aunque parezca asombroso, una simple búsqueda en Shodan puede revelar miles de direcciones IP accesibles sobre el puerto 3389 (RDP por defecto).
3.- Elevación de privilegios
Esto ocurre mediante una serie de exploits al RDP. Una vez dentro de la red, el atacante utiliza una combinación de herramientas para elevar sus privilegios al nivel de administrador de dominio.Esto puede tomar dias inclusive, la máquina comprometida se encuentra corriendo Mimikatz, una herramienta que registra credenciales, por lo que ellos roban la credencial de administrador al minuto de que ésta es ingresada.
4.- Búsqueda de objetivos en la red
A diferencia de otros ransomware mas conocidos como WannaCry, SamSam no posee capacidades del tipo gusano o virus, no se replica independientemente. En vez de esto, el ataque se desarrolla utilizando herramientas legítimas de Windows tales como PsExec junto con credenciales robadas, tal como si se tratase de una aplicación legítima administrada por el dominio del usuario.
El atacante utiliza las credenciales robadas para tomar control de uno de los servidores víctima, el cual utiliza como centro de comando para todo el ataque. Desde esta ubicación se realiza un análisis de la red, una vez que puede ingresar a otro sistema, escribe un archivo llamado test.txt, a la vez genera un archivo llamado alive.txt en el servidor de comando, el cual será utilizado como lista de objetivos.
Al ser este procedimiento de forma manual, no llama mucho la atención. También permite que el atacante escoja sus objetivos prácticamente “con pinza” y conocer cuales son los equipos encriptados.
5.- Despliegue y ejecución del ransomware
La forma mas común de ejecución es la aplicación Sysinternals PsExec, mediante la cual el atacante copia los archivos a través de la red. En casos de bloqueo de PsExec se ha detectado la utilización de PowerAdmin PaExec.
6.- Pago
una vez que el ataque fue iniciado, lo único que queda para el atacante es esperar a ver si la víctima toma contacto mediante el sitio de pagos en la dark web. El atacante otorga 7 días para el pago del rescato, aunque por un costo adicional se puede extender este tiempo
Prevención e IoC
La extensión de los archivos encriptados ha ido variando conforme evolucionan las versiones de SamSam, originalmente siendo .stubbin para luego cambiar en abril de 2018 a .berkshire, después a .satoshi y últimamente a .sophos. Lo cual es considerado como un tributo debido a las dificultades que Sophos les ha puesto para la propagación de este ransomware.
Algunos URL de sitios de pago:
roe53ncs47yt564u.onion/east3roe53ncs47yt564u.onion/fatmanroe53ncs47yt564u.onion/athenaevpf4i4csbohoqwj.onion/hummerevpf4i4csbohoqwj.onion/cadillac
Algunas billeteras de Bitcoin asociadas:
136hcUpNwhpKQQL7iXXWmwUnikX7n98xsL1FDj6HsedzPNgVKTAHznsHUg4pKnGRarH61EzpHEojHsLkHTExyz45Tw6L7FNiaeyZdm1NkDXh778bwxhKb1Wof9oPbUfs6NWrURja182jpCsoGD92Pi5JrKnfAhoHVF9rqHdCjm
Nombres de nota de rescate:
HELP_DECRYPT_YOUR_FILES.htmlHOW_TO_DECRYPT_FILES.htmlHELP_FOR_DECRYPT_FILE.htmlI_WILL_HELP_YOU_DECRYPT.htmlPLEASE_READ_FOR_DECRYPT_FILES.htmlWE-CAN-HELP-U.html
Extensiones de archivos encriptados:
.encryptedRSA.encryptedAES.btc-help-you.only-we_can-help_you.iloveworld.VforVendetta
Porcentaje de víctimas por sector industrial:
Gobierno: 13%
Educación: 11%
Salud: 26%
Privado: 50%
La mejor forma de que una organización se proteja ante SamSam, y muchos otros ataques, es reduciendo el perfil de amenaza, y no siendo un objetivo fácil en primer lugar.
Una forma de lograrlo es manteniendo los sistemas con sus actualizaciones de seguridad al día y configuraciones seguras (Gestión de Vulnerabilidades). También que los empleados usen métodos de autenticación seguros, incluyendo contraseñas fuertes (Políticas de contraseña) y en lo posible utilizar un segundo factor de autenticación.
Las organizaciones que no estén parchando regularmente contra vulnerabilidades conocidas en sus aplicaciones y sistemas operativos utilizados, quedan expuestos a que sus sistemas queden públicamente expuestos a estos ataques. Se deben corregir la mayoría de los errores frecuentes tan pronto como posible, como por ejemplo securizar o cerrar el puerto de RDP por defecto 3389 de internet.
Además, Sophos recomienda tomar las siguientes medidas:
Seguir un protocolo estricto de parchado en los sistemas operativos y todas las aplicaciones que se ejecutan en éste.Realizar análisis de vulnerabilidades y pentesting en red interna y perimetral.Evaluaciones periódicas para identificar los servicios y puertos accesibles públicamente, utilizando herramientas externas como Censys o Shodan, para luego securizarlos.Restringir el acceso al puerto 3389 sólo al personal con acceso, por ejemplo, mediante VPN.Implementar un segundo factor de autenticación en los sistemas internos, aún siendo para colaboradores en la misma LAN o VPN.Mejorar las políticas de contraseñas. Motive a los colaboradores a utilizar gestores de contraseña, claves mas largas y evitar la reutilización de credenciales para múltiples cuentas.Mejorar los controles de acceso. Activar políticas sensibles para securizar cuentas inactivas, bloqueo automático y notificación de cuentas en casos reiterados de logins fallidos.Monitoreo en tiempo real con metas en la identificación y bloqueo necesario en caso de actividad inusual en cuentas, principalmente en las privilegiadas.Educar al personal en temas de seguridad, realizar tests de phishing periódicamente.
Principio del menor privilegio (PoLP)
Refiere a entregar a los usuarios y administradores la menor cantidad de acceso que necesiten para realizar su trabajo, por ejemplo:
Usuarios que no necesiten instalar software no deben tener privilegios de administrador o root en los dispositivos que controlan.Administradores de TI no deberían usar una cuenta con credenciales de administrador de Dominio para ver la web y revisar el correo.Cuentas de servicio que son usadas para servicios importantes como Base de Datos, no deberían acceder a servidores de respaldo.