Esta semana en ciberseguridad – Julio, Semana 4

Cómo mitigar la vulnerabilidad SeriousSAM de Microsoft Windows 10, 11

Microsoft Windows 10 y Windows 11 corren el riesgo de sufrir una nueva vulnerabilidad sin parchear que se reveló públicamente recientemente.

Como informamos la semana pasada, la vulnerabilidad, SeriousSAM, permite a los atacantes con permisos de bajo nivel acceder a los archivos del sistema de Windows para realizar un ataque Pass-the-Hash (y potencialmente Silver Ticket).

Los atacantes pueden aprovechar esta vulnerabilidad para obtener contraseñas hash almacenadas en el Administrador de cuentas de seguridad (SAM) y en el Registro y, en última instancia, ejecutar código arbitrario con privilegios de SISTEMA.

La vulnerabilidad SeriousSAM, rastreada como CVE-2021-36934, existe en la configuración predeterminada de Windows 10 y Windows 11, específicamente debido a una configuración que permite permisos de ‘lectura’ para el grupo de usuarios integrado que contiene a todos los usuarios locales.

Como resultado, los usuarios locales integrados tienen acceso para leer los archivos SAM y el Registro, donde también pueden ver los hash. Una vez que el atacante tiene acceso de ‘Usuario’, puede usar una herramienta como Mimikatz para obtener acceso al Registro o SAM, robar los hashes y convertirlos en contraseñas. Invadir a los usuarios del dominio de esa manera les dará a los atacantes privilegios elevados en la red.

Debido a que todavía no hay un parche oficial disponible de Microsoft, la mejor manera de proteger su entorno de la vulnerabilidad de SeriousSAM es implementar medidas de refuerzo.

Mitigación de SeriousSAM

Según Dvir Goren, CTO de CalCom, hay tres medidas de refuerzo opcionales:

  • Elimine a todos los usuarios del grupo de usuarios integrado: este es un buen lugar para comenzar, pero no lo protegerá si se roban las credenciales de administrador. .
  • Restrinja los archivos SAM y los permisos de registro: permita el acceso solo a los administradores. Esto, nuevamente, solo resolverá una parte del problema, ya que si un atacante roba las credenciales de administrador, usted seguirá siendo vulnerable a esta vulnerabilidad.
  • No permita el almacenamiento de contraseñas y credenciales para la autenticación de red; esta regla también se recomienda en los puntos de referencia de CIS. Al implementar esta regla, no habrá hash almacenado en el SAM o en el registro, mitigando así esta vulnerabilidad por completo.

FUENTE: https://thehackernews.com/2021/07/how-to-mitigate-microsoft-windows-10-11.html

TOP 25 CWE 2021: Las debilidades de Software más peligrosas

Las 25 debilidades de software más peligrosas (MITRE CWE Top 25) es una lista demostrativa de los problemas más comunes e impactantes experimentados durante los dos años calendario anteriores. Estas debilidades son peligrosas porque a menudo son fáciles de encontrar, explotar y pueden permitir que los adversarios se apoderen completamente de un sistema, roben datos o impidan que una aplicación funcione.

El CWE Top 25 es un valioso recurso de la comunidad que puede ayudar a los desarrolladores, evaluadores y usuarios, así como a los gerentes de proyectos, investigadores de seguridad y educadores, a proporcionar información sobre las debilidades de seguridad más graves y actuales.

FUENTE: https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

El verdadero impacto de los ataques de ransomware

La investigación de Keeper revela que, además de desconectar los sistemas, los ataques de ransomware degradan la productividad, hacen que las organizaciones incurran en costos indirectos significativos y dañan su reputación.

Uno de los mitos más dañinos sobre los ataques de ransomware es: “Si su empresa realiza copias de seguridad del sistema con regularidad, no tiene que preocuparse. Simplemente restaure desde la copia de seguridad “. Si bien las copias de seguridad del sistema son cruciales: los cortes de energía, los desastres naturales o incluso los errores de los empleados pueden destruir los datos tan rápido como un ciberataque, no son una solución milagrosa. Recuperarse de un ataque de ransomware implica más que restaurar sistemas y datos.

¿Cómo es realmente la recuperación de ransomware? Para averiguarlo, Keeper Security encuestó a 2.000 empleados en los EE. UU. Cuyas organizaciones habían sido víctimas de ransomware en los últimos 12 meses. Esto es lo que encontraron.

Casi un tercio de las empresas “fueron atropelladas por trenes que nunca vieron venir”.
Durante el año pasado, los ataques de ransomware se han ganado un lugar casi permanente en la portada de todos los periódicos del país. Sin embargo, el 29% de los que respondieron a la encuesta de Keeper no tenían idea de qué era el ransomware hasta que sus organizaciones se vieron afectadas.

Esto indica que muchos empleadores no brindan a sus trabajadores una formación adecuada en ciberseguridad. Eso es especialmente preocupante porque la mayoría de los ataques involucraron esquemas de ingeniería social, incluidos correos electrónicos de phishing (42%), sitios web maliciosos (23%) y contraseñas comprometidas (21%).

La recuperación de ransomware no es indolora. Provoca cambios, muchos de ellos bastante disruptivos.
Restaurar datos y sistemas desde la copia de seguridad es solo el comienzo de la recuperación de ransomware. Las organizaciones necesitan fortalecer los sistemas para prevenir futuros ataques, así como reparar los sistemas dañados por el ransomware. El 83% de los encuestados informó que sus empleadores habían instalado un nuevo software o habían realizado otros cambios significativos.

Cualquier cambio en el entorno de datos de una organización tiene el potencial de degradar la productividad, especialmente si se trata de un cambio importante como la migración a la nube. Eso es ciertamente lo que dijeron los encuestados.

FUENTE: https://threatpost.com/true-impact-of-ransomware-attacks/168029/