Tip 15. Aislar entornos de servidores a nivel de procesos para evitar movimientos laterales en entornos de mayor privilegio

El robo de credenciales y el movimiento lateral están hoy en día presente en casi todos los intentos de ataques, siendo uno de los puntos dentro de la ciberseguridad que tiene prioridad en poder identificar la ocurrencia de estos eventos y responder con las actividades necesarias frente a este tipo de ataque detectado.

Pero ¿que es el movimiento lateral? Partamos con esta definición:

Son técnicas de ataque de hackers informáticos, que tienen como objetivo, propagarse a través de la red buscando información clave. Ahora, para aumentar la probabilidad de encontrar información relevante, utilizan el movimiento lateral.

Casi siempre tienen relación al uso de credenciales privilegiadas y técnicas que imitan las tareas que realizan, todos los días, los administradores de dominio Windows.

Aislar los entornos de servidores en el ámbito de procesos, se define como la solución para evitar el movimiento lateral, Disminuyendo la brecha de ataque a un espacio dedicado donde se ejecuta un componente o proceso.

Una de las soluciones son los contenedores, ambientes individuales con servidores agrupados por componentes o procesos específicos. Aislar las aplicaciones puede ser relativamente simple pero no se considera como un método infalible de aislamiento.

Otra solución es la Microsegmentación, que permite descubrir la dependencia de las aplicaciones, proteger las aplicaciones criticas y garantizar el cumplimiento de las normas.

Esto puede incluir una combinación de servidores, máquinas virtuales, instancias de nube y contenedores. Los beneficios principales son reducción de la superficie de ataque, contención mejorada de brechas y una posición de cumplimiento normativo mas fuerte.

Referencia : #Guardicore

La NSA advierte: Los hackers Chinos están explotando 25 vulnerabilidades

La agencia nacional de seguridad de Estados Unidos, NSA, ha informado de 25 vulnerabilidades que hackers del gobierno chino están utilizando actualmente para irrumpir en redes, robar datos, entre otros tipos de ataque. La organización norteamericana indica que liberó este listado para ayudar a los departamentos de TI a priorizar el parchado. En otras palabras: si no sabe que actualizaciones aplicar primero, comience con estas.

Hablando de tropiezos en programación, el 20 de octubre del presente año Google corrigió un hoyo de seguridad en el ultra-utilizado navegador Chrome que estaba siendo explotado a diestra y siniestra por maleantes. La vulnerabilidad en cuestión, CVE-2020-15999, radica en la conversión de tipo Freeparsing en el software. La versión 86.0.4240.111 del navegador para todos los sistemas operativos soportados ya viene con este problema correjido y debería estar en distribución en los próximos dias.

La lista de 25 vulnerabilidades de la NSA son errores de programación que son conocidas y para las cuales ya existen parches disponibles. De estas 7 afectan a sistemas de acceso remoto, 7 a servidores internos, una administración de dispositivos móviles, 2 son escalar privilegios, 2 afectan a Active Directory, 3 a equipos de red, y 3 a servidores públicos.

La directora de ciberseguridad de la NSA, Anne Neuberger, dijo este pasado martes: “Hemos escuchado fuerte y claro que puede ser difícil prorizar el parchado y los esfuerzos de mitigación”. Ademas de que “Esperamos que al destacar estas vulnerabilidades que China está utilizando para comprometer sistemas, los profesionales de la ciberseguridad obtengan información para priorizar esfuerzos y securizar sus sistemas”

El Listado

CVE-2019-11510
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510
Afecta a: Pulse Secure vpn
Descripción:Un atacante remoto sin autenticar puede enviar una URI especialmente creada para ejecutar lectura arbitraria de archivos. Esto puede exponer llaves o contraseñas.

CVE-2020-5902
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902
Afecta a: F5 BIG-IP balanceador de carga / proxy
Descripción: La Traffic Management User Interface (TMUI), a la cual también se le refiere como utilidad de configuración, tiene una vulnerabilidad de ejecución remota de código (RCE), la cual se encuentra publicada en internet.

CVE-2019-19781
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781
Afecta a: Citrix Application Delivery Controller (ADC) y Gateway
Descripción: Permite movimiento por directorios, lo que conlleva una ejecución remota de código sin credenciales.

CVE-2020-8193, CVE-2020-8195, CVE-2020-8196
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8193
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8195
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8196

Afecta a: Citrix Application Delivery Controller (ADC) y Gateway
Descripción: Control de acceso e validación de entrada inapropiados, esto permite acceso sin autenticación a cuertos endpoints mediante URL y también acceso a información restringida para usuarios de bajos privilegios.

CVE-2019-0708
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0708
Afecta a: Microsoft Windows Remote Desktop Services
Descripción: Ejecución remota de código cuando un atacante sin autenticar se conecta al objetivo utilizando RDP y enviando paquetes creados especialmente para esto.

CVE-2020-15505
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15505
Afecta a: MobileIron mobile device management (MDM)
Descripción: Ejecución remota de código que permite que un atacante remoto ejecute comandos sin autenticación mediante vectores sin especificar.

CVE-2020-1350
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1350
Afecta a: Servers Microsoft Windows Domain Name System (DNS)
Descripción: Ejecución remota de código que perturba el correcto manejo de requerimientos.

CVE-2020-1472
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472
Afecta a: Microsoft Netlogon Remote Protocol (MS-NRPC)
Descripción: Existe una elevación de privilegios cuando un atacante establece una conexión vulnerable mediante un canal seguro Netlogon hacia un controlador de dominio.

CVE-2019-1040
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1040
Afecta a: Microsoft Windows
Descripción: Manipulación mediante ataques de tipo man-in-the-middle al evitar la protección NTLM MIC.

CVE-2018-6789
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6789
Afecta a: Exim
Descripción: Una función base64d del listener SMTP permite un sobreflujo del buffer, esto permite la ejecución de código remoto.

CVE-2020-0688
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0688
Afecta a: Microsoft Exchange
Descripción: Ejecución remota de código cuando el software falla en manejar apropiadamente los objetos en memoria.

CVE-2018-4939
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-4939
Afecta a: Adobe ColdFusion 11 Update 13 y anteriores
Descripción: Vulnerabilidad de des-serialización de datos no confiables. La explotación exitosa puede conllevar la ejecución de código arbitrario.

CVE-2015-4852
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4852
Afecta a: Oracle WebLogic
Descripción: El componente de seguridad de WLS 10.3.6.0, 12.1.2.0, 12.1.3.0, y 12.2.1.0, permite que un atacante remoto ejecute comandos arbitrariamente mediante un objeto serializado en Java en el tráfico del protocolo T3 mediante el puerto TCP 7001

CVE-2020-2555
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2555
Afecta a: Oracle Fusion Middleware
Descripción: En Oracle Coherence de OFM existe una explotación fácil que permite a un atacante remoto comprometer Oracle Coherence mediante acceso T3. Esto permite tomar el control de Oracle Coherence.

CVE-2019-3396
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3396
Afecta a: Atlassian Confluence Server
Descripción: La vulnerabilidad permite que in atacante remoto obtenga movimiento entre directorios y ejecición remota de código, mediante server-side template injection.

CVE-2019-11580
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11580
Afecta a: Atlassian Crowd y Crowd Data Center
Descripción: Existe un plugin habilitado incorrectamente en los releases llamado pdkinstall. Este permite que atacantes envien requerimientos sin autenticar puedan explotar esta vulnerabilidad, permitiendo la ejecición remota de código.

CVE-2020-10189
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10189
Afecta a: Zoho ManageEngine Desktop Central
Descripción: Es posible realizar una ejecución remota de código debido a la des-serialización de datos no confiables en el método getChartImage de la clase FileStorage.

CVE-2019-18935
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18935
Afecta a: Progress Telerik UI for ASP.NET AJAX 2019.3.1023 y anteriores
Descripción: Una vulnerabilidad de des-serialización en la función RadAsyncUpload, permite que mediante el conocmimiento de las llaves de encriptación (CVE-2017-11317 o CVE-2017-11357) resulte en la ejecición de remota de código.

CVE-2020-0601
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0601
Afecta a: Microsoft Windows
Descripción: Suplantación en el modo que la MS Windows CryptoAPI (Crypt32.dll) valida los certificados ECC. Un atacante puede explotar la vulnerabilidad al utilizar un ejecutable firmado con un certificado con código falsificado, lo que aparentaría ser legítimo. En este caso permite cualquier tipo de ataque mediante malware.

CVE-2019-0803
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0803
Afecta a: Microsoft Windows
Descripción: Elevación de privilegios en MS Windows cuando el componente Win32k falla al manejar objetos en memoria.

CVE-2017-6327
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6327
Afecta a: Symantec Messaging Gateway
Descripción: Ejecución remota de código.

CVE-2020-3118
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6327
Afecta a: Cisco IOS XR
Descripción: Una vulnerabilidad en la implementación del Cisco Discovery Protocol permite que un atacante sin autenticar ejecute código arbitrariamente o causar una recarga en un sistema afectado.

CVE-2020-8515
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8515
Afecta a: DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta, and Vigor300B 1.3.3_Beta, 1.4.2.1_Beta, y 1.4.4_Beta
Descripción: Estos dispositivos permiten una ejecución remota de código como root sin autenticar, esto, mediante metacaracteres del shell.

Fuentes

https://www.theregister.com/2020/10/20/nsa_china_hacking/
https://www.theregister.com/2020/08/06/china_russia_disinformation_black_hat/
https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2387347/nsa-warns-chinese-state-sponsored-malicious-cyber-actors-exploiting-25-cves/
https://twitter.com/benhawkes/status/1318640422571266048

Tip 14. Realizar bloqueo de uso de herramientas como PSEXEC o powershell

Limitar el uso de aplicaciones en estaciones de trabajo es fundamental en el ámbito de la seguridad informática, sobre todo si estas aplicaciones son clasificadas como riesgosas. En este caso, herramientas que permitan tomar el control remoto de otras estaciones de trabajo y servidores y hacer ejecuciones remotas de programas.

Esta es una estrategia comúnmente empleada por los Ciberdelincuentes para robarnos información u ocupar el dispositivo como pivote y así no presentar sospechas en el robo de información.

Para evitar el uso de este tipo de aplicaciones en un ambiente corporativo, es necesario el conocimiento previo de cuáles son las aplicaciones que están implementadas (generar una línea base) en nuestros dispositivos, es decir, tener un Inventario de Software. Para esto, herramientas como #Genians, #Faronics o #Sophos nos pueden ayudar, tanto a saber que existe, como evitar la ejecución de programas clasificados como riesgosos.

Un poco más allá, en cualquier entorno, ya sea Cloud u on-premise #Guardicore podría generar políticas sobre el tráfico lateral (Este-Oeste, o la comunicación entre aplicativos dentro de nuestros servidores), así podríamos limitar o establecer el control sobre quién y qué puede acceder a nuestros servicios de red y obviamente con esto impedimos que una estación de trabajo, por ejemplo, se conecte en forma indebida a una base de datos.

REFERENCIAS: #Sophos #Faronics #Guardicore #Genians

Tip 13. Concientizar a los usuarios en el uso responsable de las tecnologías disponibles.

Uno de los puntos claves dentro de las organizaciones, es su gente. Esto también es aplicable en ciberseguridad.

Que nuestros usuarios entiendan, estén consientes y sean responsables de los procesos y las vulnerabilidades que pueden afectarlos a ellos o a sus compañías, es un trabajo diario y complejo. Para esto, es necesario tener procesos asociados a capacitar y concientizar a la gente en el uso correcto de las tecnologías #awarness.

Uno de los puntos que mas se ha comentado o de mayor uso por las compañías están asociados a reducir la superficie expuesta a ataques a través de #phishing.

#Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo revelar información confidencial o hacer click en un enlace).

Una herramienta que nos ayuda en este proceso es #Sophos Phish Threat, que proporciona la flexibilidad y personalización que necesita la empresa para promover una cultura positiva de sensibilización sobre la seguridad y evaluar como los colaboradores podrán reaccionar frente a un ataque.

REFERENCIA: #Sophos

Tip 12. Aplicar restricciones en plataformas como NAC para asegurar el cumplimiento de los equipos que se conectan a la red.

Si hablamos de los distintos framework de seguridad, tales como PCI-DSS, NIST, CIS, ISO 27002 u otros, todos ellos establecen 6 puntos que son la base para abordar el acceso a los activos de las compañías #NAC:

  • Inventario y Control de Activos de Hardware
  • Inventario y Control de Activos de Software
  • Manejo continuo de vulnerabilidades
  • Control de Privilegios administrativos
  • Configuración segura de Hardware y software en móviles, portátiles, estaciones de trabajo y servidores
  • Mantenimiento, monitoreo y análisis de registros de auditoria.

#Genians, es un producto que nos puede ayudar a abordar estos 6 puntos, estableciendo el control de acceso a nuestros recursos de Red, aplicando políticas basadas en la identificación de los usuarios, dispositivos y las lineas bases de hardware y software definidas.

REFERENCIA: #Genians

Tip 11.Revisar de forma activa y periódicamente la creación, eliminación y modificación de Políticas (GPO) en los Controladores de dominio.

Hemos hablado de la importancia de la correcta identificación de los usuarios, y uno de los métodos más tradicionales es hacer uso del Active Directory (AD). Herramienta que cumple una función critica en toda compañía que la utiliza y no solo para el correcto reconocimiento de los usuarios, sino también los perfiles y políticas que los rodean..

El tip de hoy habla de una recomendación base, que consiste en tener el control del Dominio de nuestra empresa, en la creación, modificación y eliminación de políticas asociadas a usuarios. Mientras más ordenado está este repositorio de usuario, perfiles y políticas, nuestro trabajo de auditoria es más sencillo.

Siempre existen herramientas que nos pueden ayudar con estas tares que pueden tornarse un tanto tediosa, como es el caso de ADAudit Plus de #ManageEngine que busca justamente esto, ayudarnos con esta tarea de vital importancia. Con ello, tareas como:

  • Indicadores de posibles amenazas internas
  • Inicios de sesión de usuarios
  • Cumplimiento de regulaciones como SOX, PCI-DSS, etc..
  • Informes y alertas
  • Almacenamiento de datos (eventos auditados)
  • Configuración de GPO

Son factibles de auditar, ya sea con recursos propios o con ayudar de un auditor externo que pueda colaborar con esto.

REFERENCIA: #ManageEngine

Tip 10. Identidad Digital, Autenticación y como robustecer el quien es quien en un ámbito digital.

Siempre hemos escuchado que para reconocer o identificar correctamente a una persona en un ambiente digital se necesita conocer tres factores:

  • Algo que sabes
  • Algo que tienes
  • Algo que eres

Cuando hablamos de algo que sabes, nos referimos a incluir usuario, contraseña o preguntas frecuentes. A su vez, algo que tienes, es el uso de un token, softoken u contraseña de una única vez (OTP). Finalmente, cuando hablamos de algo que eres, nos referimos a sistemas de autenticación Biométrica (huella, retina, voz).

Hoy, en particular, ya no basta con manejar una de estas variables, tenemos que considerar múltiples (dos o mas), lo que se conoce con el nombre MFA (múlti-factor de autenticación). Anteriormente, se hablaba de 2FA, segundo factor de autenticación, pero siempre si dos es bueno, múltiples es mejor, de ahí el termino. Adicionalmente PCI DSS reemplazó el termino de 2FA por MFA.

#SecureEnvoy es una de las compañías preocupadas del adecuado reconocimiento de la identidad, hoy conocido como #IAM (Identity and Access Managment), que va emparejada con el concepto de #MFA y que son la piedra angular para hablar de temas como #PAM (Privileged Access Managment) y que en conjunto buscan una forma de evitar el robo de información o de identidad.

REFERNECIA: #SecureEnvoy

Tip 9. Modelo de Confianza Cero. Minimice la onda expansiva de los incidentes de seguridad.

Tal como comentamos en el Tip 8. El modelo de #ZeroTrust, se basa en tres pilares fundamentales:

  1. Siempre Autentique, autorice y contabilice.
  2. Limite el acceso de los usuarios con acceso justo a tiempo y estrictamente suficiente.
  3. Minimice la onda expansiva de los incidentes de seguridad al segmentar el acceso por red, usuario, dispositivos y conocimiento de las aplicaciones (#Genians para #NAC o #Guardicore para #microsegmentación)

De los cuales ya hemos comentado el primero y el segundo, a través de herramientas como #SecureEnvoy y #Centrify. Para el caso 3, según el ambiente que abordemos, Tradicional o Cloud, podemos comentar de herramientas como #Genians que nos ayudan a controlar el acceso a los recursos de RED, pasando obviamente por una adecuada segmentación de RED. Adicionalmente #Genians nos ayuda con el reconocimiento de los usuarios, dispositivos y aplicaciones para luego generar políticas de acceso.

En entornos más dinámicos #Cloud, hoy hablamos de #microsegmentación. Donde productos como #Guardicore, líder del mercado en este segmento, nos ayuda con las definiciones y la visualización del tráfico.

REFERENCIA: #SecureEnvoy #Centrify #Guardicore #Genians

Ciberdelincuentes han logrado robar código fuente y credenciales del servicio de Clave Única del estado de Chile.

Fuente: elmostrador

El Ministerio de Interior ha formalizado una denuncia ante el ministerio público por el robo del código fuente de clave única y bases de datos del servicio de Clave Única del estado.

Existen cientos de trámites realizables con clave única, dentro de los cuales se encuentran actividades tributarias, civiles y judiciales. El uso de estas credenciales robadas para acceder a estos trámites permite suplantar la identidad de la víctima y realizar fraudes tales como:

  • Emitir boletas/facturas en nombre de personas o empresas
  • Solicitar beneficios sociales
  • Modificación de antecedentes en tribunales

También existe otra arista de esta problemática y es que la clave única no es usada solo para que los ciudadanos accedan a servicios públicos, sino que también es utilizada por sistemas internos del estado, mediante los cuales los trabajadores pueden acceder y modificar información sensible, como lo es la información de salud de la población.

El futuro de las claves robadas
Hasta ahora no hay noticia de cuáles serán los siguientes pasos de los delincuentes que se hicieron de los datos, estas podrían ser vendidas en la #DeepWeb, utilizada por el mismo grupo de delincuentes para realizar fraudes, publicadas abiertamente en Internet o transformarse en material de extorsión para el gobierno de Chile.

Poca Información
La falta de información otorgada por los organismos públicos y el desconocimiento general de la gente sobre estos temas, deja al descubierto una enorme falta de leyes de protección de la información y la privacidad de la ciudadanía #GDPR . Sobre todo, en un país donde el R.U.T (número de identificación) es prácticamente público.

Los siguientes pasos para el gobierno
No basta con cambiar las contraseñas y solicitar crear nuevas claves únicas con el número de serie del carnet, es muy probable que los usuarios repitan sus contraseñas o utilicen credenciales similares, por lo tanto, es importante educar al usuario en el uso de contraseñas seguras y reforzar el sistema agregando tecnologías como múltiple factor de autenticación y monitoreo para la detección de accesos irregulares.

En #Makros creemos en un modelo robusto de ciberseguridad para facilitar la detección temprana de incidentes, la prevención y la contención de los mismos. Dentro de este modelo ofrecemos servicios que se integran con los flujos de #DevOps tales como #EthicalHacking, #RedTeaming, #AnálisisdeCódigo y #GestióndeVulnerabilidades. Esta combinación de servicios, en conjunto con nuestros productos nos permite entregar soluciones concretas a un problema que hoy en día no solo afecta a algunos negocios, sino que a todos los ciudadanos y empresas.

Tip 8. Modelo de Confianza Cero. Siempre autentique y autorice. Usar accesos con privilegios mínimos.

En los difíciles tiempos que corren, donde el cambio es constante y muy rápido, abordar los desafíos de una superficie de ataque más amplia se hace difícil con una estrategia de defensa tradicional basada en el perímetro, es por esto que hoy hablamos de una estrategia de confianza cero #ZeroTrust.

La implementación de este tipo de estrategia, no se basa en adquirir una herramienta y todo queda solucionado, sino más bien, de una implementación por etapas con una administración continua de mejoras. Preocuparse por evaluar el entorno a través de identidad, dispositivos, aplicaciones, datos, infraestructura y redes.

El primer punto a considerar es siempre autenticar, autorizar y Auditar, que va en linea con la administración de la identidad y acceso, para luego enfocarse en la administración de dispositivos.

En este sentido muchas herramientas nos pueden ayudar a abordar la tarea de la administración de la identidad basada en un repositorio de identidad, como puede ser AD/ADFS u otro, e incorporando soluciones como MFA (Multifactor de autenticación) #SecureEnvoy y soluciones para administrar los accesos a plataforma criticas #Centrify.

Este último punto esta incluido en la segunda recomendación del viaje de confianza cero, que corresponde a usar el acceso con privilegios mínimos: Limitar el acceso de los usuarios con acceso justo a tiempo y estrictamente suficiente.

REFERENCIA: #SecureEnvoy #Centrify