Archivo mensual: Julio 2021

Esta semana en ciberseguridad – Julio, Semana 4

Cómo mitigar la vulnerabilidad SeriousSAM de Microsoft Windows 10, 11

Microsoft Windows 10 y Windows 11 corren el riesgo de sufrir una nueva vulnerabilidad sin parchear que se reveló públicamente recientemente.

Como informamos la semana pasada, la vulnerabilidad, SeriousSAM, permite a los atacantes con permisos de bajo nivel acceder a los archivos del sistema de Windows para realizar un ataque Pass-the-Hash (y potencialmente Silver Ticket).

Los atacantes pueden aprovechar esta vulnerabilidad para obtener contraseñas hash almacenadas en el Administrador de cuentas de seguridad (SAM) y en el Registro y, en última instancia, ejecutar código arbitrario con privilegios de SISTEMA.

La vulnerabilidad SeriousSAM, rastreada como CVE-2021-36934, existe en la configuración predeterminada de Windows 10 y Windows 11, específicamente debido a una configuración que permite permisos de ‘lectura’ para el grupo de usuarios integrado que contiene a todos los usuarios locales.

Como resultado, los usuarios locales integrados tienen acceso para leer los archivos SAM y el Registro, donde también pueden ver los hash. Una vez que el atacante tiene acceso de ‘Usuario’, puede usar una herramienta como Mimikatz para obtener acceso al Registro o SAM, robar los hashes y convertirlos en contraseñas. Invadir a los usuarios del dominio de esa manera les dará a los atacantes privilegios elevados en la red.

Debido a que todavía no hay un parche oficial disponible de Microsoft, la mejor manera de proteger su entorno de la vulnerabilidad de SeriousSAM es implementar medidas de refuerzo.

Mitigación de SeriousSAM

Según Dvir Goren, CTO de CalCom, hay tres medidas de refuerzo opcionales:

  • Elimine a todos los usuarios del grupo de usuarios integrado: este es un buen lugar para comenzar, pero no lo protegerá si se roban las credenciales de administrador. .
  • Restrinja los archivos SAM y los permisos de registro: permita el acceso solo a los administradores. Esto, nuevamente, solo resolverá una parte del problema, ya que si un atacante roba las credenciales de administrador, usted seguirá siendo vulnerable a esta vulnerabilidad.
  • No permita el almacenamiento de contraseñas y credenciales para la autenticación de red; esta regla también se recomienda en los puntos de referencia de CIS. Al implementar esta regla, no habrá hash almacenado en el SAM o en el registro, mitigando así esta vulnerabilidad por completo.

FUENTE: https://thehackernews.com/2021/07/how-to-mitigate-microsoft-windows-10-11.html

TOP 25 CWE 2021: Las debilidades de Software más peligrosas

Las 25 debilidades de software más peligrosas (MITRE CWE Top 25) es una lista demostrativa de los problemas más comunes e impactantes experimentados durante los dos años calendario anteriores. Estas debilidades son peligrosas porque a menudo son fáciles de encontrar, explotar y pueden permitir que los adversarios se apoderen completamente de un sistema, roben datos o impidan que una aplicación funcione.

El CWE Top 25 es un valioso recurso de la comunidad que puede ayudar a los desarrolladores, evaluadores y usuarios, así como a los gerentes de proyectos, investigadores de seguridad y educadores, a proporcionar información sobre las debilidades de seguridad más graves y actuales.

FUENTE: https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

El verdadero impacto de los ataques de ransomware

La investigación de Keeper revela que, además de desconectar los sistemas, los ataques de ransomware degradan la productividad, hacen que las organizaciones incurran en costos indirectos significativos y dañan su reputación.

Uno de los mitos más dañinos sobre los ataques de ransomware es: “Si su empresa realiza copias de seguridad del sistema con regularidad, no tiene que preocuparse. Simplemente restaure desde la copia de seguridad “. Si bien las copias de seguridad del sistema son cruciales: los cortes de energía, los desastres naturales o incluso los errores de los empleados pueden destruir los datos tan rápido como un ciberataque, no son una solución milagrosa. Recuperarse de un ataque de ransomware implica más que restaurar sistemas y datos.

¿Cómo es realmente la recuperación de ransomware? Para averiguarlo, Keeper Security encuestó a 2.000 empleados en los EE. UU. Cuyas organizaciones habían sido víctimas de ransomware en los últimos 12 meses. Esto es lo que encontraron.

Casi un tercio de las empresas “fueron atropelladas por trenes que nunca vieron venir”.
Durante el año pasado, los ataques de ransomware se han ganado un lugar casi permanente en la portada de todos los periódicos del país. Sin embargo, el 29% de los que respondieron a la encuesta de Keeper no tenían idea de qué era el ransomware hasta que sus organizaciones se vieron afectadas.

Esto indica que muchos empleadores no brindan a sus trabajadores una formación adecuada en ciberseguridad. Eso es especialmente preocupante porque la mayoría de los ataques involucraron esquemas de ingeniería social, incluidos correos electrónicos de phishing (42%), sitios web maliciosos (23%) y contraseñas comprometidas (21%).

La recuperación de ransomware no es indolora. Provoca cambios, muchos de ellos bastante disruptivos.
Restaurar datos y sistemas desde la copia de seguridad es solo el comienzo de la recuperación de ransomware. Las organizaciones necesitan fortalecer los sistemas para prevenir futuros ataques, así como reparar los sistemas dañados por el ransomware. El 83% de los encuestados informó que sus empleadores habían instalado un nuevo software o habían realizado otros cambios significativos.

Cualquier cambio en el entorno de datos de una organización tiene el potencial de degradar la productividad, especialmente si se trata de un cambio importante como la migración a la nube. Eso es ciertamente lo que dijeron los encuestados.

FUENTE: https://threatpost.com/true-impact-of-ransomware-attacks/168029/

Esta semana en ciberseguridad – Julio, Semana 3

Falsa aplicación de Zoom fue abandonada por el nuevo APT “LuminousMoth”

Primero viene el spear-phishing, la siguiente descarga de DLL maliciosos que se propagan a USB extraíbles, la caída de Cobalt Strike Beacon y luego, a veces, una aplicación de Zoom falsa.

Los investigadores han detectado uno extraño: un actor de amenazas recientemente identificado vinculado a China que primero ataca en masa, pero luego selecciona cuidadosamente, solo unos pocos objetivos para atacar con malware y exfiltración de datos.

Los investigadores de Kaspersky dijeron en un artículo del miércoles que habían nombrado al actor de amenazas avanzadas (APT) LuminousMoth.
La campaña, que se remonta al menos a octubre pasado y se dirige primero a Myanmar y ahora principalmente a Filipinas, es a gran escala y muy activa.

Eso no es infrecuente. Lo atípico de la campaña LuminousMoth es que no solo es llamativa, también está dirigida con “precisión casi quirúrgica”, dijeron.

El ruido de un ataque de gran volumen es una señal de alerta para los investigadores. Por supuesto, eso es una desventaja para los hackers, dado que arruina su distracción. Los analistas sugirieron una posible razón para la ostentación: podría tener que ver con la forma en que se propaga LuminousMoth. Es decir, se copia a sí mismo en unidades USB extraíbles.

FUENTE: https://threatpost.com/zoom-apt-luminous-moth/167822/

Cinco reglas críticas de seguridad de contraseñas que sus empleados están ignorando

Según el Informe de negligencia de contraseñas, muchos trabajadores remotos no siguen las mejores prácticas para la seguridad de estas.

En febrero de 2021, Keeper encuestó a 1,000 empleados en los EE. UU. Sobre sus hábitos de contraseña relacionados con el trabajo, y descubrió que muchos trabajadores remotos están dejando que la seguridad de las contraseñas se quede en el camino.

Aquí hay 5 reglas críticas de seguridad de contraseñas que están ignorando.

1 – Utilice siempre contraseñas seguras

Las contraseñas seguras tienen al menos ocho caracteres (preferiblemente más) y consisten en cadenas aleatorias de letras, números y caracteres especiales. Las contraseñas nunca deben incluir palabras del diccionario, que son fáciles de adivinar, o detalles personales, que los ciberdelincuentes pueden eliminar de los canales de redes sociales

  • El 37% de los que respondieron a la encuesta de Keeper dijeron que habían usado el nombre de su empleador como parte de sus contraseñas relacionadas con el trabajo.
  • El 34% ha utilizado el nombre o la fecha de nacimiento de su pareja.
  • 31% ha utilizado el nombre o la fecha de nacimiento de su hijo

2 – Utilice una contraseña única para cada cuenta

Algunas cosas nunca deben reciclarse, como las contraseñas. Cuando los empleados reutilizan contraseñas en todas las cuentas, aumentan en gran medida el riesgo de que su empleador sea violado

Desafortunadamente, el 44% de los encuestados de Keeper admiten que reutilizan contraseñas en cuentas personales y laborales.

3 – Almacene todas las contraseñas de forma segura, con cifrado completo

El uso de una contraseña única y segura para cada cuenta es solo un punto de partida. Los empleados también necesitan almacenar sus contraseñas de forma segura. La encuesta de Keeper demostró que no están haciendo eso

  • El 57% de los encuestados escribe sus contraseñas en notas adhesivas, y el 62% escribe sus contraseñas en un cuaderno o diario, al que puede acceder cualquier persona que viva o visite la casa.
  • El 49% almacena sus contraseñas en un documento guardado en la nube, el 51% usa un documento almacenado localmente en su computadora y el 55% las guarda en su teléfono. Debido a que estos documentos no están encriptados, si un ciberdelincuente viola la unidad en la nube, la computadora o el teléfono móvil, puede abrir el archivo de contraseña del empleado.

4 – Nunca comparta contraseñas relacionadas con el trabajo con personas no autorizadas

Las contraseñas de trabajo son información comercial confidencial que los empleados nunca deben compartir con nadie fuera de la organización, ni siquiera con sus cónyuges. La encuesta de Keeper reveló que el 14% de los trabajadores remotos han compartido contraseñas relacionadas con el trabajo con su cónyuge o pareja, y el 11% las ha compartido con otros miembros de la familia.

5 – El uso compartido de contraseñas en el lugar de trabajo está bien, pero solo si se hace de forma segura, con cifrado completo de un extremo a otro

Las contraseñas compartidas en el lugar de trabajo se pueden hacer de manera segura si los empleados comparten contraseñas utilizando un método seguro, y las contraseñas se comparten solo con partes autorizadas. Sin embargo, la encuesta de Keeper descubrió que el 62% de los encuestados comparten contraseñas a través de correos electrónicos o mensajes de texto no cifrados, que pueden ser interceptados en tránsito.

FUENTE: https://thehackernews.com/2021/07/five-critical-password-security-rules.html

Esta semana en ciberseguridad – Julio, Semana 2

La campaña de Ransomware más grande de la historia, lanzada este fin de semana

Resumen: El presidente Biden ha dirigido “todos los recursos del Gobierno para ayudar en respuesta” a un ataque de REvil Ransomware que podría haber afectado a 1.000 empresas a través de sus proveedores de servicios de TI este fin de semana.

Qué hacer: Dígale a sus colegas que está monitoreando la Brecha del tipo Kaseya. Tenga en cuenta que es poco probable que afecte a su empresa, pero brinda la oportunidad de reflexionar sobre la resiliencia operativa y la ciberseguridad en todos sus proveedores.

Esta brecha probablemente no perjudicará a su empresa. Existe una posibilidad muy pequeña (2%) de que su empresa resulte perjudicada porque un proveedor clave con que tenga su servicio de soporte de TI como servicio Administrado (MSP) y utilice el software de Kaseya haya sido afectado.

Tenga en cuenta que REvil no parece estar robando ni publicando datos de las empresas que piratean a través de Kaseya, solo cifrando archivos.

Inconveniente: en Suecia, millones de personas no pudieron comprar comida, petróleo, medicinas o tickets de tren con efectivo. Grandes empresas como Coop, St1 Energy y Swedish Rail, fueron afectadas con el Ransomware REvil por sus proveedores de Servicios Administrados (MSPs) que soportaban sus departamentos de TI.

Causa principal: el Ransomware REvil fue enviado a mas de 1.000 Empresas a través de sus proveedores de servicios administrado (MSP), estos usaban una version de software afectada de Kaseya “Virtual System Administration” (VSA) para soportar a sus clientes de TI.

El software VSA de Kaseya fue secuestrado previamente a través de una falla de día cero el Viernes 2 de Julio, que fue reportada a Kaseya por Dutch Cyber Authorities pero no a tiempo para prevenir el secuestro.

Aprendizaje: Cualquier brecha en la cadena de suministro de una compañía es una oportunidad para que los ejecutivos reflexiones de la sensibilidad de su seguridad de la información en toda la cadena. La brecha de Kaseya es similar a la the SolarWinds y Microsoft Exchange y todas ellas fueron anticipadas por SecurityScorecard.

Los hackers de Magecart ocultan los datos de tarjetas de crédito robadas en imágenes para una exfiltración evasiva

Los actores de delitos cibernéticos que forman parte del grupo Magecart se han aferrado a una nueva técnica para ocultar el código de malware dentro de los bloques de comentarios y codificar los datos de tarjetas de crédito robadas en imágenes y otros archivos alojados en el servidor, demostrando una vez más cómo los atacantes mejoran continuamente sus cadenas de infección. para escapar de la detección.

“Una táctica que emplean algunos actores de Magecart es el volcado de los detalles de las tarjetas de crédito pasadas en archivos de imagen en el servidor [para] evitar levantar sospechas”, “Estos se pueden descargar posteriormente mediante una simple solicitud GET en una fecha posterior”.

dijo el analista de seguridad de Sucuri, Ben Martin, en un artículo.

MageCart es el término general que se le da a varios grupos de ciberdelincuentes que se dirigen a sitios web de comercio electrónico con el objetivo de saquear números de tarjetas de crédito inyectando skimmers maliciosos de JavaScript y vendiéndolos en el mercado negro.

Fuente: https://thehackernews.com/2021/07/magecart-hackers-hide-stolen-credit.html

Esta semana en ciberseguridad – Julio, Semana 1

Microsoft advierte sobre un defecto crítico de “PrintNightmare” que se está explotando <<in-the-Wild>>

Microsoft confirmó oficialmente el jueves que la vulnerabilidad de ejecución remota de código (RCE) “PrintNightmare” que afecta a Windows Print Spooler es diferente del problema que la compañía abordó como parte de su actualización Patch Tuesday lanzada a principios de este mes, al tiempo que advierte que ha detectado intentos de explotación dirigidos a la falla.

La compañía está rastreando la debilidad de la seguridad con el identificador CVE-2021-34527.

“Existe una vulnerabilidad de ejecución remota de código cuando el servicio Windows Print Spooler realiza incorrectamente operaciones de archivos privilegiados”.

“Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos”

dijo Microsoft en su aviso.

“Un ataque debe involucrar a un usuario autenticado que llame a RpcAddPrinterDriverEx ()”.

agregó la firma con sede en Redmond.

El reconocimiento se produce después de que investigadores de la empresa de ciberseguridad Sangfor, con sede en Hong Kong, publicaran un análisis técnico profundo de una falla de Print Spooler RCE en GitHub, junto con un código PoC en pleno funcionamiento, antes de que fuera eliminado apenas unas horas después de que subió.

Fuentehttps://thehackernews.com/2021/07/microsoft-warns-of-critical.html

CISA ofrece una nueva mitigación para PrintNightmare Bug

CERT insta a los administradores a deshabilitar el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no imprimen, mientras que Microsoft intenta aclarar la falla de RCE con una nueva asignación de CVE.

El gobierno de los EE. UU. Ha intervenido para ofrecer una mitigación para una vulnerabilidad crítica de ejecución remota de código (RCE) en el servicio Windows Print Spooler que puede no haber sido completamente parcheado por el esfuerzo inicial de Microsoft para solucionarlo.

Para mitigar el error, denominado PrintNightmare, el Centro de Coordinación CERT (CERT / CC) ha publicado un VulNote para CVE-2021-1675 instando a las administraciones del sistema a deshabilitar el servicio Windows Print Spooler en los controladores de dominio y sistemas que no imprimen, la infraestructura de ciberseguridad. and Security Administration (CISA) dijo en un comunicado el jueves. CERT / CC es parte del Instituto de Ingeniería de Software, un centro de investigación financiado con fondos federales y operado por la Universidad Carnegie Mellon.

Fuentehttps://threatpost.com/cisa-mitigation-printnightmare-bug/167515

TrickBot mejora su módulo troyano bancario

Después de centrarse casi exclusivamente en la entrega de ransomware durante el año pasado, los cambios de código podrían indicar que TrickBot está volviendo al juego del fraude bancario.

El troyano TrickBot está agregando capacidades de hombre en el navegador (MitB) para robar credenciales bancarias en línea que se asemejan a Zeus, el primer troyano bancario, dijeron los investigadores, lo que podría indicar una avalancha inminente de ataques de fraude.

TrickBot es una amenaza modular sofisticada (y común) conocida por robar credenciales y entregar una variedad de ransomware de seguimiento y otro malware. Pero comenzó como un troyano bancario puro, que recolectaba credenciales bancarias en línea al redirigir a los usuarios desprevenidos a sitios web de imitación maliciosos.

Según los investigadores de Kryptos Logic Threat Intelligence, esta funcionalidad se lleva a cabo mediante el módulo de inyección web de TrickBot. Cuando la víctima intenta visitar una URL de destino (como un sitio bancario), el paquete de inyección web TrickBot realiza una inyección web estática o dinámica para lograr su objetivo, como explicaron los investigadores:

“El tipo de inyección estática hace que la víctima sea redirigida a una réplica controlada por el atacante del sitio de destino previsto, donde luego se pueden recolectar las credenciales”.

“El tipo de inyección dinámica reenvía de forma transparente la respuesta del servidor al servidor de comando y control TrickBot (C2), donde la fuente se modifica para contener componentes maliciosos antes de devolverse a la víctima como si procediera del sitio legítimo”.

dijeron, en una publicación del jueves Kryptos Logic Threat Intelligence.

En la versión actualizada del módulo, TrickBot ha agregado soporte para “configuraciones de inyección web al estilo Zeus”, según Kryptos Logic, una forma adicional de inyectar código malicioso de forma dinámica en los destinos de los sitios bancarios objetivo.

Fuentehttps://threatpost.com/trickbot-banking-trojan-module/167521/