Esta semana en ciberseguridad – Enero 2022 – Semana 1

El Grupo de Ransomware Conti es el primero en armar una cadena de ataques completa para Log4Shell.

El Grupo de Ransomware Conti con sede en Rusia, uno de los mas despiadados grupos de Ransomware según Palo Alto Networks, se ha transformado el primero grupo en armar una cadena completa de ataque basada en Log4J2.

Cadena de Ataque

  • Emotet es una botnet que resurgió el mes pasado de una parte de TrickBot, ahora con la capacidad de instalar en forma directa.
  • Cobalt Strike, la herramienta comercialmente disponible, utilizada por los pentester en dispositivos infectados que da a los actores de amenazas acceso directo a sus objetivos.
  • Human Exploitation, que describe la etapa de un ataque en el que los actores de amenazas investigan personalmente la red, buscan datos críticos, analizan la estructura de la red, definen las redes más importantes y buscan formas de elevar los privilegios, entre otras cosas.
  • Missing ADMIN$ share. Las acciones administrativas son acciones de red ocultas creadas por los sistemas operativos Windows NT de Microsoft que otorgan a los administradores del sistema acceso remoto a cada volumen de disco en un sistema conectado a la red. Como Microsoft lo expresa: “Las acciones administrativas faltantes generalmente indican que la computadora en cuestión ha sido comprometida por un software malicioso.”
  • Kerberoast. Kerberoasting, un ataque común y generalizado que explota una combinación de cifrado débil y mala higiene de la contraseña de la cuenta de servicio, es un ataque posterior a la explotación que extrae los hash de credenciales de la cuenta de servicio de Active Directory para el craqueo fuera de línea. Con respecto al eslabón final en la cadena de ataque.
  • VMWare vCenter servers. A partir del miércoles, diciembre. 15, Conti estaba buscando redes VMWare vulnerables para el acceso inicial y el movimiento lateral. Los servidores VMWare tienen una larga lista de componentes afectados y vulnerables a Log4Shell.

Dentro de los dos días posteriores a la divulgación pública de la vulnerabilidad en la biblioteca de registro Log4j de Apache, el 10 de diciembre. – un bug que fue atacado en cuestión de horas – Los miembros del grupo Conti estaban discutiendo cómo explotarlo como un vector de ataque inicial, según AdvIntel.

Apache parchó el bug el 11 de diciembre, pero su parche, Log4J2, fue encontrado incompleto en ciertas configuraciones no predeterminadas y allanó el camino para ataques de denegación de servicio (DoS) en ciertos escenarios.

Como si dos errores no fueran suficientes, otro error similar pero distinto fue descubierto la semana pasada en la biblioteca de registro Log4J. Apache emitió un parche el viernes.

FUENTE: https://threatpost.com/conti-ransomware-gang-has-full-log4shell-attack-chain/177173/

Tomar el control de un AD mediante dos vulnerabilidades de diciembre

En medio de la tormenta #Log4Shell hay una cadena de vulnerabilidades (NoPaC, sAMAccountName) que está pasando algo desapercibida pero mediante la cual cualquier persona dentro de la red podría usar para ownear un DC. Hablamos de CVE-2021-42287 y CVE-2021-42278.

Para explicarlo vamos a partir de la premisa de que Kerberos (y otros paquetes de autenticación) por diseño cuando no encuentran una cuenta de usuario vuelven a intentarlo agregando un $ para determinar si la cuenta es una cuenta de computadora/equipo o una cuenta de usuario, porque sabéis que los dominios de Windows almacenan nombres de cuentas de equipo con un $.

Y ya sabéis también que en el proceso de autenticación de Kerberos requiere un TGT (Ticket Granting Ticket) cuando se solicita un Ticket de servicio o TGS (Ticket Granting Service). El tema es que si por ejemplo Pepito obtiene un TGT y el usuario Pepito es eliminado o renombrado después, al usarlo para solicitar un ticket de servicio de otro usuario (el llamado S4U2self) provocará que el KDC busque pepito$ en la base de datos del AD, como recién comentamos.

Seguro que ya habéis visto la jugada… un atacante renombra la cuenta de equipo con el nombre del controlador de dominio (dc$) y cuando usa el TGT modifica el nombre de usuario, de modo que la respuesta (TGS_REP) al no encontrar la cuenta de usuario devolverá el ticket de servicio para la cuenta de equipo, es decir, para el controlador de dominio spoofeado…

El problema es que ni se comprueba el PAC (Privilege Attribute Certificate) ni hay ninguna otra validación que verifique que las cuentas que tienen un $ al final de su nombre (es decir, el atributo sAMAccountName) son de equipo. Esa sería la vulnerabilidad CVE-2021-42278 que en combinación con la del engaño al KDC, la CVE-2021-42287, permite a cualquier atacante hacerse pasar por cuentas de controlador de dominio.

El único pre-requisito es que hay que tener permiso de escritura para el atributo sAMAccountName. Sin embargo, por defecto los usuarios normales en el dominio pueden crear 10 cuentas de equipo (MachineAccountQuota), y el creador tiene permisos de escritura para las cuentas de equipo y, por supuesto, estos dos atributos se pueden cambiar. Las combinaciones perfectas.

FUENTE: https://www.hackplayers.com/2021/12/explotacion-cve-2021-42278-y-42287.html

Zero Trust Network Access (Gartner Hype Cycle)

El aumento del trabajo remoto ha aumentado los inventarios de dispositivos empresariales de formas que nadie esperaba. Esto coincidió con un aumento drástico de las amenazas de ciberseguridad de los terminales. Este es el atractivo telón de fondo del último Hype Cycle for Endpoint Security de Gartner.

El informe demuestra claramente que la tecnología emergente de seguridad unificada de terminales (UES) proporciona una importante plataforma de consolidación para administrar las diferentes partes de una pila de tecnología de ciberseguridad. Los oficiales de seguridad de la información necesitan proteger los dispositivos terminales no administrados nuevos en sus redes y necesitan la flexibilidad para administrarlos en una sola plataforma.

Hype Cycle for Endpoint Security, 2021 de Gartner explora cómo los gerentes de seguridad de la información pueden lograr sus objetivos reduciendo costos y mejorando la visibilidad y el control. Hype Cycle de este año da prioridad a UES como la solución que los ejecutivos de seguridad de la información necesitan para proteger sus terminales. Según las conversaciones que VentureBeat ha tenido con ejecutivos de seguridad de la información y CIO, el impulso del mercado de seguridad de endpoints unificado se está acelerando a medida que los equipos de ciberseguridad se esfuerzan por llenar los vacíos en su infraestructura de endpoints y prevenir posibles infracciones antes de que ocurran.

Según Gartner, el mercado global de software de seguridad creció un 10,3% en 2020, alcanzando $ 49,7 mil millones en ingresos anuales. Los cinco segmentos principales con las tasas de crecimiento más altas son las pruebas de seguridad de las aplicaciones, la gestión de acceso, la plataforma de protección de terminales (empresa), las puertas de enlace de correo electrónico seguras y el gobierno y la administración de identidades. La categoría de plataforma de protección de endpoints (empresa) es el segundo segmento de más rápido crecimiento del mercado de seguridad global, con ingresos de $ 8.8 mil millones en 2020 (y una tasa compuesta anual del 20%). Los cinco proveedores más importantes son Microsoft, McAfee, Norton LifeLock, IBM y Broadcom.

Consejos prácticos del Hype Cycle

El consejo más práctico de este Hype Cycle proviene de sus sugerencias sobre la orquestación de nuevas tecnologías para proporcionar a los jefes de seguridad de la información, CIO y equipos de ciberseguridad una evaluación de amenazas en tiempo real y datos de gestión de activos dentro de un único lago de datos.

Un enfoque de lago de datos único para la seguridad unificada de los terminales controla la seguridad de los terminales en una plataforma integral que reduce el riesgo y el costo al mejorar la gestión de activos. De acuerdo con los oficiales de seguridad de la información y los CIO de VentureBeat encuestados para este artículo, los puntos finales de autocuración serán un requisito básico para todas las compras de ciberseguridad presupuestadas en 2022.

Estas son las novedades del Ciclo de exageraciones de Gartner para la seguridad de terminales, 2021. Este año, el informe incluye un total de 18 tecnologías, frente a las 20 del año pasado. Las tecnologías eliminadas del Hype Cycle este año incluyen el aislamiento del navegador, la infraestructura móvil virtual (VMI) y las comunicaciones de datos corporativas seguras, mientras que se ha agregado la seguridad de punto final VDI / DaaS. Claramente, las conexiones seguras de Virtual Desktop Infrastructure (VDI) y Desktop-as-a-Service (DaaS) se han convertido en una prioridad en los últimos años, dado el rápido crecimiento de las reuniones virtuales, las sesiones de capacitación remota y las llamadas de ventas. VDI / DaaS ayuda a prevenir el secuestro de sesiones virtuales al proteger la identidad de cada participante virtual sin ninguna degradación del ancho de banda.Gráfico que muestra el ciclo de bombo de seguridad de Gartner con las horas extraordinarias previstas

Arriba: Ciclo de bombo de seguridad

Crédito de la imagen: Gartner.

A continuación, se muestra información clave del Ciclo Hype de Gartner para Endpoint Security, 2021:

  • Gartner está experimentando un aumento en las iniciativas Zero Trust Network Access (ZTNA) entre sus clientes corporativos en la actualidad.. El descubrimiento del ciclo de publicidad de confianza cero es coherente con lo que los ejecutivos de seguridad de la información le dicen a VentureBeat sobre sus hojas de ruta, proyectos piloto y planes de confianza cero. En casi todas las conversaciones que VentureBeat tiene con los gerentes de seguridad de la información en los servicios financieros y la fabricación, la confianza cero se menciona primero como una decisión comercial. El objetivo es escalar la seguridad de los endpoints a través de nuevos modelos de ingresos digitales. Incluso antes de la orden ejecutiva del presidente Joe Biden sobre la mejora de la ciberseguridad del país, 160 proveedores de ciberseguridad afirmaron tener productos y servicios de nube de confianza cero. Según Gartner, el interés en la confianza cero sigue superando al mercado de ciberseguridad en general, creciendo más del 230% en 2020 en comparación con 2019.
  • La escala de los productos ZTNA se ha expandido más allá de las aplicaciones web para admitir una gama más amplia de aplicaciones y protocolos, lo que ilustra un ritmo acelerado de innovación. Gartner señala que la generación actual de aplicaciones ZTNA ha mejorado la experiencia del usuario, mayor flexibilidad y mejor adaptabilidad basada en roles y personajes. Gartner también señala que «las ofertas de ZTNA basadas en la nube mejoran la escalabilidad y la facilidad de adopción». La adquisición de NetMotion por parte de Absolute Software es premonitoria para posicionar a las empresas combinadas para ofrecer lo que los CISO buscan en una solución ZTNA. Otras compañías en el espacio ZTNA para observar incluyen a Ericom, que incluye ZTNA y otras tecnologías en el ciclo, como el aislamiento remoto del navegador, la puerta de enlace web segura y CASB, en su plataforma ZTEdge Zero Trust Cloud Security. Ivanti Neurons for Zero Trust Access utiliza el aprendizaje automático para simplificar las políticas de seguridad, el cumplimiento y el acceso con privilegios mínimos entre usuarios, dispositivos y aplicaciones para garantizar que la microsegmentación de la red esté implementada. Otros proveedores de ZTNA a seguir son Akamai, Appgate, Cato Networks, Netskope, Perimeter 81, Proofpoint y SAIFE.
  • Unified Endpoint Management (EMU) gana respeto durante la pandemia y aumenta la adopción. UEM demostró su valía durante la pandemia al unificar la identidad, la seguridad y el acceso remoto en apoyo de las arquitecturas ZTNA que ahora se consideran esenciales para garantizar una fuerza laboral en todas partes. Al igual que ZTNA, ha habido una rápida innovación en UEM durante los últimos 12 a 18 meses, con el objetivo de reducir los riesgos de seguridad y cumplimiento, junto con la compatibilidad con más dispositivos y sistemas operativos. Los beneficios de UEM, que incluyen la optimización de las actualizaciones continuas del sistema operativo en múltiples dispositivos y plataformas móviles, la habilitación de la administración de dispositivos y una arquitectura que puede admitir una amplia gama de dispositivos y sistemas operativos, son la razón por la cual las empresas buscan expandir su adopción de EMÚ. Otro beneficio importante citado por las empresas es la automatización de parches, políticas y gestión de la configuración basados ​​en Internet. Los líderes de UEM incluyen a Ivanti, que ofrece a sus clientes soluciones de seguridad adicionales integradas en su plataforma UEM, incluida la autenticación multifactor sin contraseña (su función Zero Sign-On) y Mobile Threat Defense (MTD). Otros proveedores a tener en cuenta en EMU incluyen Blackberry, Citrix y Sophos.

La pila de tecnología empresarial típica se esfuerza por respaldar la afluencia de nuevos dispositivos no administrados a las redes cuando se trata de ciberseguridad. Es común encontrar Endpoint Detection and Response (EDR), Mobile Threat Defense (MTD) y Endpoint Protection Platforms (EPP) sobrecargadas con correcciones personalizadas para respaldar inventarios de dispositivos que nadie esperaba que crecieran tan rápidamente.

El último Hype Cycle para Endpoint Security de Gartner sostiene que la seguridad unificada de endpoints es una plataforma vital para reunir las diferentes partes de la pila de tecnología de ciberseguridad del mañana. Los proveedores de seguridad para terminales deben estar a la altura del desafío y acelerar el ritmo de la innovación para frenar los peores ransomware y ciberataques que están alcanzando niveles récord este año.

REFERENCIAS: (1) https://noticiasmoviles.com/zero-trust-y-ues-impulsan-el-ciclo-hype-2021-de-gartner-para-la-seguridad-de-terminales/
(2) https://www.gartner.com/smarterwithgartner/4-must-have-technologies-that-made-the-gartner-hype-cycle-for-cloud-security-2021