Archivos de etiquetas: Microsoft

NSA llama a los administradores y usuarios de Windows a instalar los parches contra la vulnerabilidad “BlueKeep”

La NSA (National Security Agency) hace un llamado con urgencia a los usuarios y administradores de windows para realizar la actualización de sistema que protege contra la vulnerabilidad “Blue Keep” CVE2019-0708, según la NSA este podría llegar a ser próximo “WannaCry” si no es tratado en este momento.
El parche para este CVE-2019-0708 fue lanzado en el mes de mayo por Microsoft, no obstante se estima que hay casi un millón de equipos vulnerables pendientes de actualización.
BlueKeep es una vulnerabilidad (CVE-2019-0708), que afecta al protocolo de escritorio remoto (RDP) utilizado para que máquinas con Windows se puedan operar a distancia a través de Internet. La vulnerabilidad es crítica y afecta a Windows 7, Windows Vista, Windows XP y a Windows Server 2008 y 2003.
La alerta de NSA es inusual y solo se produce ante casos de extrema gravedad. Hay constancia que un exploit ya está aprovechando la vulnerabilidad y se teme una campaña de ataques que resulten en una situación similar a WannaCry, un malware que también utilizó un fallo en el protocolo de escritorio remoto.
Los titulares de la institución a través de sus redes sociales oficiales han hablado sobre el delicado asunto los últimos días. Pero incluso ya publicaron una entrada en su sitio web oficial. Donde dimensionan con mayor precisión el peligro que representa:
Las advertencias recientes de Microsoft destacaron la importancia de instalar parches para solucionar una vulnerabilidad de protocolo en versiones anteriores de Windows .
Microsoft ha advertido que esta falla es potencialmente “wormable”, lo que significa que podría propagarse sin la interacción del usuario a través de Internet.
Hemos visto gusanos informáticos devastadores que causan daños en sistemas sin parches con un impacto de gran alcance, y estamos buscando motivar mayores protecciones contra esta falla.
Medidas contra BlueKeep
Junto con la instalación de los parches publicados por Microsoft, la agencia de seguridad también recomendó tomar las siguientes medidas adicionales:
Bloquear el puerto TCP 3389 en el cortafuegos, especialmente los perimetrales expuestos a Internet. Este puerto se usa en el protocolo RDP y bloqueará los intentos de establecer una conexión.Habilitar la autenticación de nivel de red. Esto mejora la seguridad, ya que requiere que los atacantes tengan credenciales válidas para realizar la autenticación de código remoto.Deshabilitar los servicios de escritorio remoto si no los necesitas. Esto ayuda a reducir la exposición a las vulnerabilidades de seguridad en general y es una buena práctica incluso sin la amenaza de BlueKeep.
Fuentes:

Actualización critica de Microsoft, alarmas de un nuevo WannaCry (CVE-2019-0708)

Hoy Microsoft liberó parches para una vulnerabilidad crítica de ejecución de código remoto, CVE-2019-0708, presente en Remote Desktop Services (antes conocida como Terminal Services) que afecta algunas versiones antiguas de Windows. El protocolo RDP en sí no es vulnerable. Esta vulnerabilidad es pre-autenticación y no requiere interacción del usuario. En otras palabras, la vulnerabilidad es “gusaneable”, lo que significa que cualquier malware a futuro que explote esta vulnerabilidad podría propagarse desde un equipo vulnerable a otro de forma similar a la en la que el malware WannaCry se esparció a través del mundo en 2017. Mientras tanto no se ha observado explotación de esta vulnerabilidad, es altamente posible que algunos ciberdelincuentes escriban un exploit para esta vulnerabilidad y la incorporen en su malware.
Es importante mencionar que recomendamos el parchado de los sistemas afectados a la brevedad de lo posible para prevenir que esta explotación suceda. Como respuesta, Microsoft está tomando la acción de entregar parches de seguridad para todos los clientes con tal de proteger las plataformas de Windows, incluyendo algunas versiones de Windows que se encuentran fuera de soporte.
Entre los sistemas vulnerables se encuentran Windows 7, Windows Server 2008 y 2008 R2. La descarga para versiones de Windows con soporte pueden ser encontradas en Microsoft Security Update Guide. Los clientes de estas versiones con soporte vigente también pueden beneficiarse de la actualización automática ya que este parche se encuentra en despliegue con este método también.
Las versiones de Windows fuera de soporte incluyen a Windows 2003 y Windows XP. Si es usuario de una versión fuera de soporte, el mejor método de mitigar esta vulnerabilidad es actualizar hacia una versión de Windows con soporte vigente. Aún así, Microsoft dispuso de parches disponibles para estas versiones en su KB4500705.
Existe una mitigación parcial en sistemas afectados que tienen habilitada la autenticación a nivel de red (NLA) . Los sistemas afectados son mitigados para evitar infecciones de malware “gusaneable” o malware avanzado que podría explotar esta vulnerabilidad, como NLA requiere autenticación antes de que la vulnerabilidad pueda ser explotada. De todas maneras, los sistemas afectados aún serían vulnerables a explotación por ejecución de código remoto (RCE) si es que el atacante tiene credenciales válidas que puedan ser utilizadas exitosamente.
Debido a lo anteriormente expuesto, se recomienda firmemente que este parche sea aplicado a la brevedad.
Fuentes:

WannaMine, el nuevo modelo de ataque que desplaza progresivamente al ransomware

El año pasado estuvimos repletos de historias acerca de ataques ransomware, los cuales son bastante dolorosos.
Son rápidos, brutales y altamente perjudiciales, el ransomware difiera de otros ataques de malware que intentan mantener un bajo perfil y evitar la exposición.
Además el ransomware puede salir bastante caro de remediar, aún cuando tenga un proceso de respaldo y recuperación eficientes, es mas engorroso este proceso de que tan solo seguir trabajando normalmente.
De hecho, el ransomware puede ser aún mas caro, puede ser un desafío ético, forzándonos a tomar difíciles desiciones entre intentar reparar el problema o hacer un trato con los criminales con la esperanza de tener nuestro negocio funcionando libremente.
Pero hay un nuevo tipo de malware en el 2018: Cryptomining.
El malware de criptominado se trata cuando los delincuentes infectan sigilosamente su computador con un software que realiza cálculos que generan criptodivisas tales como Bitcion, Monero o Ethereum, así los delincuente se quedan con las criptodivisas generadas.
Esto lo realizan dado que para generar dinero con el “minado” de criptodivisas, necesitas mucha electricidad para entregar mucho poder de procesamiento a muchos computadores.
Entonces puedes arrendar espacio en un rack gigante de servidores, por ejemplo en Islandia, donde la electricidad es barata y el clima es lo suficientemente frío como para evitar que tus servidores se frían…
… o puedes robar la electricidad de otras personas, poder de procesamiento y aire acondicionado al utilizar malware que infiltre criptominadores en sus redes, sus navegadores, sus cafeterías, y más.
Cual es el daño
Si se infecta con un criptominador, todos sus datos seguirán ahi, y aún tendrá acceso a ellos, entonces el criptominado suena como un golpecito comparado con el ransomware.
Sin embargo, su computador probablemente se volverá enervantemente lento, los ventiladores de los portátiles rugirán todo el tiempo y la duración de la batería será nula.
En un dispositivo móvil, todos estos efectos secundarios son mucho mas graves, ya que el quedarse sin batería implica que se apagará rápido y el sobrecalentamiento asociado con el uso suer-pesado del procesador podría ocasionar un daño permanente.
Irónicamente, mucha información acerca del criptominado indica que no se sugiere minar en teléfonos móviles, el poder de procesamiento no es suficiente para resultados decentes, así el costo superaría a los beneficios. Claro que a los delincuentes detrás de este tipo de ataque no les importa.
¿Como protegerse?
Un software de prevención de exploits como Sophos Intercept X puede bloquear este tipo de ataques, al reconocer el comportamiento de este malware detecta el abuso de condiciones en el sistema operativo y lo bloquea.
Un sistema de antivirus y prevención de intrusos (Sophos Endpoint Protection) puede detener los procesos maliciosos que permiten que se ejecute el ataque, aún cuando los exploits que lo permiten se reinicie cada vez.
Un dispositivo de seguridad en la red como el Firewall XG de Sophos puede bloquear el tráfico de red que un malware criptominador requiere para funcionar.
Junto con lo anteriormente expuesto, la mejor defensa es la preparación, parchar nuestros sistemas oportunamente nos da la ventaja de estar al día en las protecciones que el fabricante de nuestro sistema operativo ofrece.
Un ejemplo es con el tristemente célebre ransomware WannaCry, cuya propagación era evitable luego de instalar el parche MS17-010 de Microsoft para sus sistemas operativos Windows.
Esto no impide que se sigan ejecutando ataques con ransomware, de hecho esta semana ha causado un gran revuelo el ransomware GrandCrab, el cual solicita una recompensa cercana al millón de pesos en una criptomoneda llamada Dash (la cual es mucho mas difícil de rastrear que el general de las criptodivisas)

Vulnerabilidad en todos los procesadores Intel, que hacer.

Diversos fabricantes han publicado parches e información de seguridad con la finalidad de mitigar estas vulnerabilidades, por lo que como proveedor de servicios de seguridad les hacemos llegar.
Esta semana se dio a conocer una vulnerabilidad en la arquitectura de todos los procesadores Intel, en resumen es un problema en el cual es posible acceder a sectores de memoria donde se guarda información del núcleo del Sistema Operativo.
Una falla fundamental en el diseño de los procesadores Intel está forzando el rediseño de los núcleos de Linux y Windows para evitar esta falla de seguridad a nivel de chip.
Programadores están en máxima capacidad para potenciar el núcleo de código abierto en el sistema de memoria virtual de Linux. Mientras se espera que Microsoft introduzca los cambios necesarios en sus Sistemas Operativos Windows el próximo martes de parchado.
Se estima que estas actualizaciones afecten el desempeño de los procesadores Intel. Estos efectos aún están bajo medición aunque se estima un impacto entre el 5% y el 30% en el desempeño.
La solución es básicamente separar la memoria del núcleo completamente de los procesos del usuario usando Kernel Page Table Isolation (KPTI), lo que recientemente fue posible revelar mediante un ataque denominado Forcefully Unmap Complete Kernel With Interrupt Trampolines (o F**KWIT) en el núcleo de Linux.
Cuando un programa necesita realizar cualquier acción como escribir un archivo o abrir una conexión de red, pasa el control temporalmente al procesador para que el núcleo realice la tarea. para realizar esta transición del usuario al núcleo y de vuelta lo mas rápida y eficientemente posible, el núcleo se presenta en todos los espacios de memoria virtual de los procesos, aún cuando no sea visible para los programas. Luego cuando se necesita el núcleo, el programa realiza una llamada al sistema, el procesador cambia al modo de núcleo y lo accede. Cuando está realizado, la CPU es indicada a volver al modo de usuario para re-entrar al proceso, mientras en el modo de usuario el código del núcleo y sus datos permanecen fuera de vista pero presentes en las tablas de paginación del proceso.
Los parches KPTI mueven el núcleo a una dirección completamente diferente a los procesos del usuario, de forma que no sea visible en absoluto. Con esto se pretende evitar que código maligno vulnere la protección mediante Kernel Adress Space Layout Randomization (KASLR). Este mecanismo de defensa usado por varios Sistemas Operativos para alojar componentes del núcleo en ubicaciones aleatorias en la memoria virtual.
Esto parece una buena solución, pero, los procesadores modernos realizan “ejecución especulativa”, al ejecutar una instrucción la CPU intenta predecir cual será la próxima instrucción que debe ejecutar, la prueba y si es válida la realiza. Hay una falta de seguridad en esta ejecución especulativa que al combinarse con lo anteriormente explicado permitiría eventualmente que un proceso a nivel de usuario pueda acceder directamente a instrucciones del núcleo y procesador, lo cual es peligroso.
¿Como afecta esto a usuarios Sophos?
El 3 de enero del presente año, Microsoft liberó un aviso de seguridad el cual incluye actualizaciones de emergencia para el problema, esto incluye contactar al fabricante de su Anti Virus para comfirmar que es compatible con el parche y a la vez definir una llave específica en el registro de Windows.
Sophos ha finalizado las pruebas de compatibilidad con la isntalación de este parche y con la modificaciáon del registro de Windows, confirmando de que no existen problemas de compatibilidad.
Sophos comenzará a agregar de forma automática la llave de registro a los siguientes productos de Sophos Endpoint y Server desde el 5 de enero de 2018:
Sophos Central Endpoints/Servers

Sophos Enterprise Console Endpoints/Servers

Preview subscriptionRecommended subscription

Sophos Endpoint StandaloneSophos Virtual Enviroment (SVE)UTM Managed EndpointsSophos Home

Los clientes que deseen aplicar el parche de inmediato, antes de que la actualización de Sophos lo realice automáticamente, pueden realizarlo de forma manual tal como se indica en el articulo de Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002.
Alternativamente es posible descargar y aplicar el parche sin la llave de registro.
Tome nota de que Microsoft indica que “además podría ser necesario instalar actualizaciones de firmware desde el fabricante de su dispositivo para protección adicional. Revise con el fabricante de su dispositivo para actualizaciones relevantes”. Para mayor información lea el artículo de Microsoft https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Sophos recomienda que realice pruebas antes de aplicar actualizaciones de firmware en ambientes productivos.
Además Sophos se encuentra evaluando el impacto en sus productos como XG Firewall, UTM y otros appliances que ejecutan Linux y contienen procesadores Intel para asegurarse de que están debidamente protegidos antes esta vulnerabilidad.
Parches e información de otros fabricantes/proveedores:
https://support.f5.com/csp/article/K91229003