Esta semana en ciberseguridad – Marzo 2022

Vulnerabilidad Crítica de Google Chrome, Edge, etc.

Google Chrome, Edge y Brave acaban de liberar una actualización de seguridad de emergencia para los navegadores basados en Chromium. Se trata de la versión Chromium 99.0.4844.84 que viene a resolver una única vulnerabilidad, pero una extremadamente crítica.

El problema, que afecta a los usuarios de Windows, Linux y macOS, ha sido clasificado como de severidad alta e identificado como CVE-2022-1096. La empresa urge a los usuarios a actualizar cuanto antes pues se ha detectado que ya existe un exploit.

CVE-2022-1096 es la segunda vulnerabilidad de día cero abordada por Google en Chrome desde el comienzo del año, el primero CVE-2022-0609, una vulnerabilidad sin uso posterior en el componente de Animación que se parcheó el 14 de febrero de 2022.

Se trata de una vulnerabilidad “type confusion” en V8, el motor de Javascript gratuito, de código abierto, y WebAssembly de Chrome. Diseñado por Chromium Project para los navegadores web Google Chrome y Chromium.

FUENTE: https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html

Browser-in-the-Browser (BitB) Attack

¿Podemos confiar en los navegadores web para protegernos, incluso si dicen “https”? No, con el nuevo ataque de BitB, que falsifica ventanas emergentes de SSO para eliminar credenciales para Google, Facebook, Microsoft, etc.

Se ha descubierto un kit de phishing que permite a ciberdelincuentes crear ventanas falsas para el navegador Chrome que les permita robar información a modo de phishing.

Al iniciar la sesión en muchos sitios web, es habitual contar con la opción de acceder con Google, Microsoft, Apple, Twitter o incluso Steam. Por ejemplo, el formulario de inicio de sesión de DropBox permite iniciar sesión con una cuenta de Apple o Google.

este ataque crea ventanas falsas del navegador dentro de ventanas reales del navegador (Browser in the Browser) para crear ataques de phishing que parecen muy realistas.

Este ataque crea ventanas falsas del navegador dentro de ventanas del navegador muy reales, al hacer clic en los botones de inicio de sesión único (SSO) en Google o en la aplicación y que pedirá que introduzcas tus credenciales para luego inicies sesión en la cuenta.

FUENTE: https://threatpost.com/browser-in-the-browser-attack-makes-phishing-nearly-invisible/179014/

Zero Trust en nuestros días y como enfrentarlo

A una mamá cualquiera le llega un WhatsApp de una sobrina pidiéndole que le deposite dinero porque tuvo tal accidente y que no quiere contarlo, por eso necesita que sea discreta, en el mismo momento, a un gerente de administración y finanzas que acaba de recibir la aprobación de un gerente general para que pague tal factura, le llega un correo del gerente indicando que en vez de pagar en tal cuenta que debe pagar en otra.

Estas dos situaciones tienen algo en común, ¿porque desconfiar?, la mamá habla regularmente por WhatsApp y sabe que la sobrina no le pediría dinero si realmente no la necesitara, el gerente de administración y finanzas lleva varios correos intercambiados por el tema, si bien ambas situaciones son extrañas no alcanza para desconfiar.

Qué hacer?

Ambas situaciones son casos típicos de estafas informáticas hoy día, si bien las personas críticas se les puede entrenar para “desconfiar” y pedir confirmación personal de las solicitudes, lo cual es siempre recomendable, a nivel masivo y automático se deben tener herramientas para proteger a las personas y a las organizaciones de este tipo de amenazas, se necesita poder desconfiar, de quien se está conectando, desde donde se está conectando y con que se está conectando por que como ya vimos en la confianza está el riesgo.

Decir lo anterior es más fácil decirlo que hacerlo, una ayuda muy útil es usar estándares como NIST CSF o NERC CIP, pero nos basaremos en el estándar CIP el cual nace conceptualmente en temas de ciberseguridad, acá las recomendaciones más básicas:

  1. Inventario y Control de Activos Empresariales: Para poder tener control primero se debe tener visualización de los activos que se conectan a la organización de manera automática y en tiempo real, las soluciones por excelencia para esto son los NAC (control de acceso a la red).
  2. Inventario y Control de Activos de Software: El objetivo del control de software es poder determinar si el aplicativo que se está usando corresponde al usado normalmente, si este software tiene vulnerabilidades conocidas o está al día 
  3. Protección de Datos: Los datos son la parte más importante que se quiere capturar para producir los fraudes, recordar que si quiero embaucar entre más datos tenga, más  creíble será mi discurso, tener visualización de los datos, de quien los accede y si estos están protegidos debe ser una labor principal de los encargados de la seguridad de las organizaciones.
  4. Configuración segura de activos y software empresariales: Existen varios casos de estafas, donde la organización tiene todas las herramientas necesarias, incluso tiene lo que se considera lo mejor del mercado, no obstante así igual sufren de eventos de robos y  estafas, existe una regla que indica que hay un 80/20 (Pareto), donde el 80% del éxito corresponde a una correcta y oportuna configuración de seguridad, el 20% restante a la tecnología.
  5. Administración de cuentas: Al igual que los dispositivos y software, los usuarios y su comportamiento son fundamentales para determinar mediante el comportamiento si son realmente una amenaza, tareas como cambio de claves, doble factor de autenticación, geolocalización, son temas a tener en cuenta por los planificadores de ciberseguridad.

Nota: Normalmente las herramientas de ciberseguridad tienden a abarcar la mayor cantidad de necesidades, hoy día están apareciendo herramientas denominadas CASSM (Cyber Asset Attack Surface Management) que además de los conceptos mencionados, contienen funcionalidades como agregación (reunir varias fuentes de información en un repositorio  común) y en base a esa información enriquecida automatizar respuestas y acciones, recordad que se necesita una respuesta automática y en tiempo real a las amenazas que existe hoy día.

AUTOR: Luis Madariaga – Senior SE Makros