Esta semana en ciberseguridad – Noviembre semana 3

URGENTE: Nueva actualización de seguridad para Windows Server.

Microsoft a liberado una nueva actualización de seguridad fuera de banda para Windows Server, lo que ya nos pone sobre la pista de cuan urgente resulta su instalación por parte de todos los administradores que gestiones infraestructuras con el servidor de Microsoft.
Aunque, eso sí, en este caso pese a estar relacionado con la seguridad, no plantea problemas relacionados con el acceso no autorizado por parte de terceros, sino la imposibilidad de acceder por aquellos usuarios legítimos y que lo hagan de manera controlada. Un problema que, claro, puede suponer una enorme merma en la productividad de las empresas en las que se emplea Windows Server para la autenticación de sus trabajadores y, por lo tanto, algo que debe ser solventado a la mayor brevedad.

Recomendaciones de Microsoft:
En los sistemas afectados, los usuarios finales no pueden iniciar sesión en servicios o aplicaciones mediante el inicio de sesión único (SSO) en entornos de Active Directory locales o híbridos. Estos problemas afectan a los sistemas que ejecutan Windows Server 2019 y versiones inferiores, incluidos Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 y Windows Server 2008 SP2

Sobre los parches, «Soluciona un problema conocido que podría causar errores de autenticación relacionados con los vales kerberos que adquirió del Servicio para usuario a uno mismo (S4U2self). Este problema se produce después de instalar las actualizaciones de seguridad del 9 de noviembre de 2021 en controladores de dominio (DC) que se ejecutan en Windows Server.»

Según podemos leer en la web de Micrososft

Por lo tanto, si aplicaste dicha actualización, es posible que tus usuarios estén teniendo problemas a la hora de intentar iniciar sesión en sus sistemas. Pero, como ya hemos mencionado, Microsoft ya ha publicado las actualizaciones necesarias:

  • Windows Server 2019: KB5008602
  • Windows Server 2016: KB5008601
  • Windows Server 2012 R2: KB5008603
  • Windows Server 2012: KB5008604
  • Windows Server 2008 R2 SP1: KB5008605
  • Windows Server 2008 SP2: KB5008606

Como puedes ver, Microsoft ha asignado un KB distinto para cada versión de su servidor. Es curioso que no hayan unido todas en una única entrada, si bien este sistema sin duda puede resultar más cómodo a la hora de buscar y descargar el parche correspondiente a cada versión.

Sea como fuere, la urgencia para la aplicación de este parche es similar a la de los destinados a eliminar problemas de seguridad. Y es que tan malo es que se produzcan accesos ilegítimos y malintencionados como que los trabajadores y colaboradores de las organizaciones no puedan acceder a sus sistemas para desarrollar sus actividades legítimas.

FUENTE: https://www.muyseguridad.net/2021/11/17/windows-server-nueva-actualizacion/

Vulnerabilidad Crítica de Palo Alto Networks.

El 10 de noviembre de 2021, Palo Alto Networks (PAN) proporcionó una actualización que parcheó CVE-2021-3064 (CVSS 9.8) que fue descubierto y revelado por la empresa Randori. Esta vulnerabilidad afecta a los firewall PAN que utilizan GlobalProtect Portal VPN y permite la ejecución remota de código no autenticado en instalaciones vulnerables del producto.

Aaron Portnoy, científico principal de Randori, explicó a ZDNet que en octubre de 2020, su equipo tenía la tarea de investigar las vulnerabilidades con GlobalProtect Portal VPN. En noviembre de 2020, su equipo descubrió el Zero-Day CVE-2021-3064, comenzó la explotación autorizada de los clientes de Randori y lo envió con éxito a uno de sus clientes, a través de Internet, no solo en un laboratorio. Las acciones de Randori han causado una reacción considerable de algunos en la comunidad de ciberseguridad, quienes argumentan que la compañía no debería haber esperado 12 meses antes de revelarlo a Palo Alto Networks. Portnoy ha publicado múltiples declaraciones en Twitter defendiendo a la empresa de las críticas.

El problema afecta a múltiples versiones de PAN-OS 8.1 antes de la 8.1.17 y Randori ha encontrado numerosas instancias vulnerables expuestas en activos conectados a Internet, más de 10.000 activos.

El equipo desarrolló un exploit que permite obtener una shell en el objetivo afectado, acceder a datos de configuración confidenciales, extraer credenciales y mucho más. Una vez que un atacante logra el control sobre el firewall, tendrá visibilidad de la red interna y podrá moverse lateralmente.

CVE-2021-3064 es un desbordamiento de búfer que se produce mientras se analiza la entrada proporcionada por el usuario en una ubicación de longitud fija en la pila. El código problemático no es accesible externamente sin utilizar una técnica de smuggling HTTP. La explotación de estos juntos produce la ejecución remota de código bajo los privilegios del componente afectado en el dispositivo de firewall.

El smuggling de solicitudes HTTP es una técnica para interferir con la forma en que un sitio web procesa secuencias de solicitudes HTTP que se reciben de los usuarios. Este tipo de vulnerabilidades son a menudo de naturaleza crítica, lo que permite a un atacante eludir los controles de seguridad, obtener acceso no autorizado a datos confidenciales y comprometer directamente a otros usuarios de la aplicación.

Para aprovechar esta vulnerabilidad, un atacante debe tener acceso de red al dispositivo en el puerto de servicio GlobalProtect (puerto predeterminado 443). Como el producto afectado es un portal VPN, a menudo se puede acceder a este puerto a través de Internet. En dispositivos con ASLR habilitado (que parece ser el caso en la mayoría de los dispositivos de hardware), la explotación es difícil pero posible.

En dispositivos virtualizados (firewalls de la serie VM), la explotación es significativamente más fácil debido a la falta de ASLR y se espera que pronto surjan exploits públicos.

  • La cadena de vulnerabilidades consiste en un método para eludir las validaciones realizadas por un servidor web externo HTTP smuggling y un desbordamiento de búfer basado en la pila.
  • Afecta a los firewalls de Palo Alto que ejecutan la serie 8.1 de PAN-OS con GlobalProtect habilitado (específicamente versiones <8.1.17).
  • Se ha probado la explotación de la cadena de vulnerabilidades y permite la ejecución remota de código en productos de firewall tanto físicos como virtuales.
  • El código de explotación disponible públicamente no existe en este momento pero es probable que el código de explotación pública aparezca pronto
  • Los parches están disponibles en el proveedor.

En un esfuerzo por evitar permitir el uso indebido, los detalles técnicos relacionados con CVE-2021-3064 no se divulgarán públicamente durante un período de 30 días a partir de la fecha de esta publicación. En ese momento se dará a conocer más información.

FUENTE: (1) https://blog.segu-info.com.ar/2021/11/vulnerabilidad-critica-en-alto-networks.html
(2) https://www.randori.com/blog/cve-2021-3064/

Los cinco principales problemas de la gestión de terminales.

PROBLEMA 1: SEGURIDAD
La máxima prioridad para cualquier persona que trabaje en la gestión de equipos y tabletas en una empresa, escuela, universidad o cualquier otro lugar es protegerlos de las amenazas que los acechan. Es necesario tener la certeza de que se es inmune a las artimañas de los virus, ransomware, hackers y phishers. La lista de peligros ha aumentado exponencialmente desde que la Covid-19 aceleró el cambio al teletrabajo y todos los espacios de trabajo son mucho más vulnerables a los ataques.

PROBLEMA 2: PARCHES DE WINDOWS Y ACTUALIZACIONES DE SOFTWARE
Muchos responsables de TI se encuentran con que no tienen suficiente control sobre las actualizaciones de Windows y de todo su software, a menudo no están seguros de qué versiones tienen instaladas y no pueden detener las actualizaciones que se publican. Las actualizaciones de software son cada vez más frecuentes y Windows 11 es un motivo de preocupación para muchos. Lo ideal es mantener todos los dispositivos actualizados de orma constante sin interrupciones para los usuarios, pero esto no siempre es fácil.

PROBLEMA 3: GESTIÓN DEL INVENTARIO
Si gestiona un gran número de estaciones de trabajo, puede resultar difícil hacer un seguimiento de dónde se encuentra todo el hardware, así como estar al día de todas las licencias de software. Podría tratar de imponer una estructura mediante hojas de cálculo, pero puede que actualizarlas le resulte tan pesado que acabe dándose por vencido. Intentar añadir información simple, como la fecha de vencimiento de la garantía de todos los terminales, puede llevarle días y semanas de trabajo, cuando debería ser un momento.

PROBLEMA 4: DETERIORO DEL HARDWARE
Un hardware decente es caro. Por eso, es frustrante cuando sus terminales funcionan con lentitud porque están llenos de basura. Quiere optimizar el rendimiento de sus equipos, pero cada vez es más difícil detener su inevitable deterioro.

PROBLEMA 5: ESCALA
Si gestiona una propiedad grande, puede tener la sensación de estar librando una batalla perdida para intentar que todo funcione correctamente en todas partes. Es posible que le falte información esencial o que pierda demasiado tiempo intentando recopilarla de varias fuentes, por lo que la gestión se vuelve compleja cuando preferiría que fuera fluida y sin problemas.

FUENTE: https://www.faronics.com/es/news/blog/top-5-problems-with-endpoint-management?redirect