jueves, 21 de marzo de 2024

Nuevo ataque acústico determina las pulsaciones de teclas a partir de patrones de escritura

Los investigadores han demostrado un nuevo ataque acústico de canal lateral en los teclados que puede deducir la entrada del usuario en función de sus patrones de escritura, incluso en malas condiciones, como entornos con ruido.





Aunque el método logra una tasa de éxito promedio del 43%, que es significativamente menor que otros métodos presentados en el pasado, no requiere condiciones de grabación controladas ni una plataforma de escritura específica.









Esto lo hace más aplicable en ataques reales y, dependiendo de algunos parámetros específicos del objetivo, puede producir suficientes datos confiables para descifrar la entrada general del objetivo con algún análisis posterior a la captura.





El ataque acústico





Los investigadores Alireza Taheritajar y Reza Rahaeimehr de la Universidad de Augusta en Estados Unidos han publicado un artículo técnico [PDF] que presenta los detalles de su exclusivo método acústico de canal lateral.





El ataque aprovecha las emisiones de sonido distintivas de diferentes pulsaciones de teclas y el patrón de escritura de los usuarios capturado por software especializado para recopilar un conjunto de datos.













Es fundamental recopilar algunas muestras de escritura del objetivo para que las pulsaciones de teclas y palabras específicas puedan correlacionarse con las ondas sonoras.





El documento profundiza en los posibles métodos para capturar texto, pero podría ser a través de malware, sitios web maliciosos o extensiones de navegador, aplicaciones comprometidas, secuencias de comandos entre sitios o teclados USB comprometidos.









La escritura del objetivo puede grabarse usando un micrófono oculto cerca de él o de forma remota usando dispositivos comprometidos en las proximidades, como teléfonos inteligentes, computadoras portátiles o parlantes inteligentes.





El conjunto de datos capturado incluye muestras de tipeo en diversas condiciones, por lo que se deben registrar múltiples sesiones de tipeo, lo cual es crucial para el éxito del ataque. Sin embargo, los investigadores dicen que el conjunto de datos no tiene por qué ser particularmente grande.





Luego, el conjunto de datos se utiliza para entrenar un modelo estadístico que produce un perfil completo de los patrones de escritura individuales del objetivo en función de los intervalos de tiempo entre pulsaciones de teclas.









Los investigadores descubrieron que aceptar una desviación del 5% para el modelo estadístico es crucial, ya que el comportamiento al escribir varía ligeramente incluso cuando una persona escribe la misma palabra dos veces.





Por ejemplo, cualquier intervalo registrado entre A y B que se encuentre entre 95 milisegundos (100 – 5%) y 105 milisegundos (100 + 5%) podría considerarse una coincidencia.





La desviación también ayuda a mitigar el impacto de los errores o el ruido en la grabación, asegurando que las discrepancias menores no provoquen una falta de coincidencia.









El método predice el texto escrito analizando grabaciones de audio de la actividad del teclado, y la precisión se mejora al filtrar las predicciones a través de un diccionario de inglés.





Lo que hace que el ataque sea diferente en comparación con otros enfoques es que puede alcanzar una precisión de predicción de escritura del 43 % (en promedio) incluso cuando:






  • las grabaciones contienen ruido ambiental




  • las sesiones de escritura grabadas para el mismo objetivo se llevaron a cabo en diferentes modelos de teclado.




  • las grabaciones fueron tomadas usando un micrófono de baja calidad




  • el objetivo es libre de utilizar cualquier estilo de escritura





Por otro lado, el método tiene limitaciones que en ocasiones hacen que el ataque sea ineficaz.





Por ejemplo, puede ser difícil perfilar a las personas que rara vez usan una computadora y no han desarrollado un patrón de mecanografía consistente, o a los mecanógrafos profesionales que escriben muy rápido.





Los resultados de las pruebas de 20 sujetos de prueba han producido un amplio rango de éxito, desde el 15% hasta el 85%, lo que hace que algunos sujetos sean mucho más predecibles y susceptibles que otros.









Los investigadores también observaron que la amplitud de la forma de onda producida se acentúa menos cuando se utilizan teclados silenciosos (interruptores mecánicos o de membrana con amortiguador de sonido), lo que puede obstaculizar la eficacia del entrenamiento para el modelo de predicción y reducir las tasas de detección de pulsaciones de teclas.





Fuente: BC

miércoles, 20 de marzo de 2024

El sensor de luz ambiental de los móviles como herramienta espía

Un nuevo estudio sobre algunas inesperadas propiedades de una función estándar de todos los smartphones y tabletas modernas.





En un artículo de la revista Science publicado a mediados de enero, se describe un método no trivial de husmear a los usuarios de teléfonos inteligentes a través de un sensor de luz ambiental.





Todos los teléfonos inteligentes y tabletas cuentan con este componente integrado, al igual que muchos ordenadores portátiles y televisores. Su objetivo principal es detectar la cantidad de luz ambiental en el entorno en el que se encuentra el dispositivo y adecuar el brillo de la pantalla en consecuencia.









De todos modos, primero debemos explicar por qué un atacante usaría una herramienta poco adecuada para obtener imágenes en lugar de la cámara tradicional del dispositivo objetivo. La razón es que estos sensores “inadecuados para la tarea” suelen estar totalmente desprotegidos.





Imaginemos que un atacante engaña a un usuario para que instale un programa malicioso en su teléfono inteligente. El malware se encontrará con ciertas dificultades para acceder a componentes a los que suele dirigirse, como el micrófono o la cámara. Pero ¿al sensor de luz? ¡Pan comido!





Los investigadores demostraron que este sensor de luz ambiental se puede usar en lugar de una cámara; por ejemplo, para obtener una imagen instantánea de la mano del usuario al introducir un PIN en un teclado virtual. En teoría, al analizar dichos datos, es posible reconstruir la contraseña. En esta publicación, explicaremos todos los detalles en palabras simples.





“Toma de fotografías” con un sensor de luz. Fuente.








El sensor de luz es una tecnología bastante primitiva; se trata de una fotocélula sensible a la luz que mide el brillo de la luz ambiental varias veces por segundo. Las cámaras digitales utilizan sensores de luz muy similares (aunque más pequeños), pero tienen millones de ellos. La lente proyecta una imagen sobre esta matriz de fotocélulas, se mide el brillo de cada elemento y se obtiene una fotografía digital. Por lo tanto, un sensor de luz podría describirse como la cámara digital más primitiva que existe; su resolución es exactamente de un píxel. ¿Cómo podría algo así capturar lo que sucede alrededor del dispositivo?





Los investigadores emplearon el principio de reciprocidad de Helmholtz, formulado a mediados del siglo XIX. Este principio se utiliza mucho en gráficos por ordenador, por ejemplo, ya que simplifica en gran medida los cálculos. En 2005, el principio constituyó la base del método propuesto de fotografía dual. Tomemos una ilustración de este artículo para poder explicarlo:









A la izquierda hay una fotografía real del objeto. A la derecha hay una imagen calculada desde el punto de vista de la fuente de luz. Fuente.




Imagina que estás fotografiando objetos sobre una mesa. Una lámpara emite luz sobre los objetos, la luz reflejada incide en la lente de la cámara y el resultado es una fotografía. Nada fuera de lo común. En la ilustración de arriba, la imagen de la izquierda es precisamente eso: una fotografía normal. A continuación, los investigadores, en términos muy sencillos, comenzaron a alterar el brillo de la lámpara y registrar los cambios en la iluminación. Como resultado, recogieron suficiente información para reconstruir la imagen de la derecha, tomada desde el punto de vista de la lámpara. No hay ninguna cámara en esta posición y nunca la hubo; pero sobre la base de las mediciones, la escena se pudo reconstruir con éxito.





Lo más interesante de todo es que este truco ni siquiera requiere una cámara. Un fotorresistor sencillo servirá, como el de un sensor de luz ambiental. Un fotorresistor (o “cámara de un solo píxel”) mide los cambios en la luz reflejada por los objetos, y estos datos se utilizan para crear una fotografía de ellos. La calidad de la imagen será baja, y se deben tomar cientos o miles de medidas.





Configuración experimental: una tableta Samsung Galaxy View y la mano de un maniquí. Fuente.




Volvamos al estudio y al sensor de luz. Los autores del artículo utilizaron una tableta Samsung Galaxy View bastante grande con una pantalla de 17″. En la pantalla de la tableta, se mostraron varios patrones de rectángulos en blanco y negro. Se colocó un maniquí frente a la pantalla, como si fuera un usuario que introduce algo con el teclado en pantalla. El sensor de luz capturó los cambios de brillo. Con varios cientos de medidas como esta, se creó una imagen de la mano del maniquí. Es decir, los autores aplicaron el principio de reciprocidad de Helmholtz para obtener una fotografía de la mano, tomada desde el punto de vista de la pantalla. De forma bastante eficaz, los investigadores convirtieron la pantalla de la tableta en una cámara de muy baja calidad.





Comparación de objetos reales frente a la tableta con lo que capturó el sensor de luz. Fuente.








Es cierto que la imagen no es la más nítida. La fotografía de arriba a la izquierda muestra lo que se necesitaba capturar: por un lado, la palma abierta del maniquí; por el otro, cómo el “usuario” parece tocar algo en la pantalla. Las imágenes del centro son una “fotografía” reconstruida con una resolución de 32 × 32 píxeles, en la que no se ve casi nada: hay demasiado ruido en los datos. Sin embargo, con la ayuda de algoritmos de aprendizaje automático, se filtró el ruido para crear las imágenes de la derecha, donde podemos distinguir la posición de una mano de la otra. Los autores del artículo dan otros ejemplos de gestos típicos que las personas hacen cuando usan la pantalla táctil de una tableta. O más bien, ejemplos de cómo lograron “fotografiarlos”:





Captura de manos en varias posiciones mediante un sensor de luz. Fuente.








Entonces, ¿se puede aplicar este método en la práctica? ¿Es posible supervisar cómo interactúa el usuario con la pantalla táctil de un teléfono inteligente o una tableta? ¿Cómo escribe texto en el teclado en pantalla? ¿Cómo introduce los datos de la tarjeta de crédito? ¿Cómo abre las aplicaciones? Por fortuna, no es tan sencillo. Ten en cuenta los títulos sobre las “fotografías” en la ilustración de arriba. Muestran lo lento que funciona este método. En el mejor de los casos, los investigadores pudieron reconstruir una “fotografía” de la mano en poco más de tres minutos. Se tardó 17 minutos en capturar la imagen de la fotografía anterior. La vigilancia en tiempo real a tales velocidades está fuera de discusión. También está claro ahora por qué la mayoría de los experimentos usaban la mano de un maniquí: un ser humano simplemente no puede mantener su mano inmóvil durante tanto tiempo.





Sin embargo, esto no descarta la posibilidad de que se mejore el método. Reflexionemos sobre el peor de los casos. Si la imagen de cada mano no se puede obtener en tres minutos, sino en, quizás, medio segundo; si el resultado en pantalla no son unas extrañas figuras en blanco y negro, sino un vídeo, un conjunto de fotografías o una animación de interés para el usuario; y si el usuario hace algo que valga la pena espiar, entonces el ataque tendría sentido. Pero incluso si se dan todas las condiciones, no tiene mucho sentido. Todos los esfuerzos de los investigadores se debilitan por el hecho de que si un atacante logró colocar un malware en el dispositivo de la víctima, existen formas mucho más sencillas de engañarla para que introduzca una contraseña o el número de una tarjeta de crédito.





No es la primera vez en la que analizamos este tipo de investigaciones (ejemplos anteriores: uno, dos, tres, cuatro), pero sí es la vez que tenemos más dificultades para imaginar este ataque en la vida real.





Todo lo que podemos hacer es maravillarnos ante la belleza del método propuesto. Esta investigación sirve como otro recordatorio de que los dispositivos que parecen ser familiares y discretos a nuestro alrededor pueden albergar funcionalidades inusuales y menos conocidas.





Dicho esto, para aquellas personas a quienes les preocupa esta posible violación de la privacidad, la solución es sencilla. Estas imágenes son de baja calidad debido a que el sensor de luz toma medidas con bastante poca frecuencia: 10-20 veces por segundo. Los datos de salida también carecen de precisión. Sin embargo, eso solo es relevante para convertir el sensor en una cámara. Para su objetivo principal, medir la luz ambiental, esta tasa es incluso demasiado alta. Podemos “distorsionar” aún más los datos transmitiéndolos, digamos, cinco veces por segundo en lugar de 20. Para hacer coincidir el brillo de la pantalla con el nivel de luz ambiental, esto es más que suficiente. Pero espiar a través del sensor, algo ya improbable, se volvería imposible.





Fuente: Kaspersky

Chrome mejora la protección de URL para evitar phishing

Google anunció el jueves una versión mejorada de navegación segura para brindar protección de URL en tiempo real, preservando la privacidad y salvaguardando a los usuarios de visitar sitios potencialmente maliciosos.





“El modo de protección estándar para Chrome en escritorio e iOS comparará en tiempo real los sitios con la lista de sitios dañinos conocidos”, dijeron Jonathan Li y Jasika Bawa de Google. “Si sospechamos que un sitio representa un riesgo para usted o su dispositivo, verá una advertencia con más información. Al revisar los sitios en tiempo real, esperamos bloquear un 25% más de intentos de phishing”.









Hasta ahora, el navegador Chrome utilizaba una lista almacenada localmente de sitios inseguros conocidos que se actualiza cada 30 a 60 minutos y luego aprovechaba un enfoque basado en hash para comparar cada sitio visitado con la base de datos.





Google reveló sus planes de cambiar a comprobaciones del lado del servidor en tiempo real sin compartir el historial de navegación de los usuarios con la empresa en septiembre de 2023. La razón del cambio está motivada por el hecho de que la lista de sitios web dañinos está creciendo a un ritmo rápido y que el 60% de los dominios de phishing existen por menos de 10 minutos, lo que los hace difíciles de bloquear.





No todos los dispositivos tienen los recursos necesarios para mantener esta lista creciente, ni siempre pueden recibir y aplicar actualizaciones a la lista con la frecuencia necesaria para beneficiarse de una protección total. Por lo tanto, con la nueva arquitectura, cada vez que un usuario intenta visitar un sitio web, la URL se compara con las cachés globales y locales del navegador que contienen URL seguras conocidas y los resultados de comprobaciones anteriores de navegación segura para determinar el estado del sitio.





Si la URL visitada no está en las cachés, se realiza una verificación en tiempo real ofuscando la URL en hashes completos de 32 bytes, que luego se truncan en prefijos hash de 4 bytes de largo, se cifran y se envían a un servidor privado.









“El servidor de privacidad elimina los identificadores de usuarios potenciales y reenvía los prefijos hash cifrados al servidor de navegación segura a través de una conexión TLS que combina solicitudes con muchos otros usuarios de Chrome”, explicó Google.





Posteriormente, el servidor de navegación segura descifra los prefijos hash y los compara con la base de datos del lado del servidor para devolver hashes completos de todas las URL no seguras que coinciden con uno de los prefijos hash enviados por el navegador.





Finalmente, en el lado del cliente, los hashes completos se comparan con los hashes completos de la URL visitada y se muestra un mensaje de advertencia si se encuentra una coincidencia.





Google también confirmó que el servidor de privacidad no es más que un retransmisor HTTP Oblivious (OHTTP) operado por Fastly que se ubica entre Chrome y el servidor de Navegación Segura para evitar que este último acceda a las direcciones IP de los usuarios, evitando así correlacionar las comprobaciones de URL con un Historial de navegación en Internet del usuario.





“En última instancia, Safe Browsing ve los prefijos hash de su URL pero no su dirección IP, y el servidor de privacidad ve su dirección IP pero no los prefijos hash. Ninguna parte tiene acceso a su identidad y a los prefijos hash. Como tal, su actividad de navegación permanece privada”.





Fuente: THN

viernes, 5 de enero de 2024

Resumen de vulnerabilidades del año 2023

Es hora de hacer una pausa y reflexionar. Es hora de evaluar qué funcionó y qué no en 2023, qué nos llamó la atención y causó perturbaciones, y qué pasó desapercibido. Más importante aún, necesitamos saber qué lecciones aprendimos de 2023 para que podamos hacer un mejor trabajo en la gestión del riesgo este nuevo año. En consonancia con esto, la Unidad de Investigación de Amenazas de Qualys (TRU) ha preparado un informe para revisar el panorama de amenazas en 2023.














  • Menos del uno por ciento de las vulnerabilidades contribuyeron al mayor riesgo y fueron explotadas rutinariamente en la naturaleza.




  • 97 vulnerabilidades de alto riesgo, probablemente explotadas, no formaban parte del catálogo de vulnerabilidades conocidas explotadas (KEV) de CISA.




  • El 25 por ciento de estas vulnerabilidades fueron inmediatamente objeto de explotación, y el exploit se publicó el mismo día en que la vulnerabilidad en sí se reveló públicamente.




  • 1/3 de las vulnerabilidades de alto riesgo afectaron a dispositivos de red y aplicaciones web.




  • La explotación de servicios remotos, la explotación de aplicaciones públicas y la explotación para escalar privilegios son las tres principales tácticas de MITRE ATT&CK.





Al momento de escribir este artículo, se revelaron 26.447 vulnerabilidades en 2023, eclipsando el número total de vulnerabilidades reveladas en 2022 en más de 1.500 CVE. Esto continúa la trayectoria de años en la que se han encontrado más vulnerabilidades que el año anterior.









Sin embargo, no todas las vulnerabilidades presentan un riesgo elevado; de hecho, un pequeño subconjunto (menos del 1%) aporta el mayor riesgo. Estas vulnerabilidades particularmente críticas son aquellas que tienen un exploit armado, son explotadas activamente por ransomware, actores de amenazas y malware, o tienen evidencia confirmada de explotación en la naturaleza. Son estas vulnerabilidades las que examinaremos en detalle.





Panorama de amenazas de vulnerabilidad para 2023





La Unidad de Investigación de Amenazas (TRU) de Qualys analizó las vulnerabilidades de alto riesgo para obtener más información y discutir tendencias comunes. La TRU inspeccionó cuáles eran los más explotados, qué métodos y tácticas de ataque se utilizaron y qué estrategias podemos utilizar para fortalecer las defensas contra ellos. Algunos aspectos destacados de sus hallazgos:










  • Más de 7.000 vulnerabilidades tenían código de explotación de prueba de concepto. Estas vulnerabilidades podrían resultar en una explotación exitosa; sin embargo, el código de explotación suele ser de menor calidad, lo que puede reducir la probabilidad de que un ataque tenga éxito.




  • 206 vulnerabilidades tenían disponible un código de explotación armado. Es muy probable que los exploits para estas vulnerabilidades comprometan el sistema de destino si se utilizan.




  • Hubo 115 vulnerabilidades explotadas habitualmente por actores de amenazas, malware y grupos de ransomware como CL0P.




  • De las vulnerabilidades observadas, 109 tenían evidencia conocida de explotación y estaban enumeradas en el CISA KEV.




  • Se explotaron 97 vulnerabilidades en estado salvaje, pero no se incluyeron en la lista CISA KEV. Nota: Las organizaciones que priorizan según CISA KEV deben prestar especial atención a estos CVE.




  • Grupos de ransomware como LockBit y Cerber explotaron 20 vulnerabilidades.




  • Además, 15 vulnerabilidades fueron explotadas por grupos de malware y botnets.





Principales tipos de vulnerabilidad





Más de un tercio de las vulnerabilidades de alto riesgo identificadas podrían explotarse de forma remota. Los cinco tipos de vulnerabilidades más frecuentes representaron más del 70 por ciento del total descubierto. Esto subraya la necesidad crítica de una estrategia integral de gestión de vulnerabilidades que incluya capacidades de escaneo remoto, y no dependa únicamente de métodos basados en agentes.









Tiempo medio para explotar las vulnerabilidades de alto riesgo en 2023





En 2023, fuimos testigos de una tendencia crítica en la explotación de vulnerabilidades de alto riesgo. El análisis revela una visión sorprendente de la rapidez con la que los atacantes aprovechan estas vulnerabilidades.





El tiempo medio para explotar las vulnerabilidades en 2023 será de 44 días (aproximadamente un mes y medio). Sin embargo, este promedio oculta la urgencia de la situación. En numerosos casos, las vulnerabilidades tenían un exploit disponible el mismo día de su publicación. Esta acción inmediata representa un cambio en el modus operandi de los atacantes, destacando su creciente eficiencia y la ventana cada vez menor para la respuesta de los defensores.





El veinticinco por ciento de las CVE de alto riesgo se explotaron el día de la publicación: estas vulnerabilidades de seguridad fueron inmediatamente objeto de explotación, y el exploit se publicó el mismo día en que la vulnerabilidad en sí se reveló públicamente. Esta estadística sirve como una llamada de atención para que las organizaciones adopten una postura proactiva hacia la gestión de parches y la inteligencia sobre amenazas.









Ventana de tres semanas: el 75 por ciento de las vulnerabilidades fueron explotadas dentro de los 19 días (aproximadamente tres semanas) posteriores a su publicación. Este cronograma ofrece una ventana crucial para que las organizaciones prioricen y aborden las vulnerabilidades más críticas.





Un tercio de las vulnerabilidades de alto riesgo encontradas en infraestructura de red y aplicaciones web





Un sustancial 32,5% de las 206 vulnerabilidades identificadas residen dentro de la infraestructura de redes o dominios de aplicaciones web, sectores tradicionalmente difíciles de salvaguardar por medios convencionales.









Esto pone de relieve la necesidad de una estrategia integral de gestión de la vulnerabilidad. Al implementar una variedad de métodos de gestión de vulnerabilidades, incluidas técnicas basadas en agentes, sin agentes y basadas en redes, las organizaciones pueden garantizar una protección amplia y proactiva en todos los activos de TI.





Una estrategia de múltiples frentes de este tipo es esencial para detectar y remediar amenazas de manera efectiva, reforzando así la seguridad y el cumplimiento en áreas particularmente susceptibles a riesgos cibernéticos sofisticados.





Más del 50 por ciento de las vulnerabilidades de alto riesgo explotadas por actores de amenazas y grupos de ransomware





De las 206 vulnerabilidades de alto riesgo, más del 50 por ciento fueron aprovechadas por actores de amenazas, ransomware o malware para comprometer los sistemas.






  • 115 explotados por actores de amenazas nombrados.




  • 20 explotados por ransomware.




  • 15 explotados por malware y botnets.





Las vulnerabilidades identificadas abarcan un amplio conjunto de sistemas y aplicaciones, incluidos, entre otros, PaperCut NG, MOVEit Transfer, varios sistemas operativos Windows, Google Chrome, Atlassian Confluence y Apache ActiveMQ. Esta amplitud demuestra que ninguna aplicación está fuera del alcance de los atacantes, quienes están decididos a explotar cualquier vulnerabilidad para comprometer los sistemas.





En particular, muchas de estas vulnerabilidades, como las que se encuentran en MOVEit Transfer, Windows SmartScreen y Google Chrome, se pueden explotar de forma remota, lo que evita la necesidad de acceso físico al sistema objetivo.





Ciertas vulnerabilidades permiten a los atacantes eludir los mecanismos de autenticación, como se observa con las vulnerabilidades en PaperCut NG, o escalar sus privilegios, como con las vulnerabilidades del controlador del sistema de archivos de registro común de Windows. Este tipo de vulnerabilidades son particularmente alarmantes debido a su potencial para otorgar a los atacantes mayores niveles de acceso, simplificando así el compromiso del sistema y los esfuerzos de filtración de datos.





Además, las vulnerabilidades encontradas en plataformas como Fortra GoAnywhere MFT y Apache ActiveMQ son capaces de facilitar la ejecución remota de código o la inyección de comandos. Estos permiten a los atacantes ejecutar comandos arbitrarios, lo que podría llevar al control total del sistema.





Las amenazas a la ciberseguridad, que a menudo apuntan a versiones de software específicas, como se ve en MOVEit Transfer, requieren una estrategia dinámica e integral. Esto incluye actualizaciones periódicas, parches, evaluaciones de vulnerabilidades y autenticación sólida. Las medidas proactivas y preventivas son cruciales para una defensa eficaz contra estas amenazas complejas y en evolución, en lugar de respuestas meramente reactivas.





Principales tácticas y técnicas de MITRE ATT&CK





En 2023, las 206 vulnerabilidades del conjunto de datos se utilizaron como armas, lo que ofrece una visión clara de las tácticas empleadas por los ciberadversarios. Aquí, analizamos las principales técnicas y métodos de MITRE ATT&CK utilizados en estos exploits, arrojando luz sobre las vías más frecuentes de ataques cibernéticos:










  • Explotación de servicios remotos (T1210 y T0866): este es el método observado con más frecuencia, con 72 ocurrencias en entornos empresariales y 24 en sistemas de control industrial (ICS). Esta técnica, utilizada para el acceso inicial y el movimiento lateral, resalta la importancia de proteger los protocolos de servicio remoto contra el acceso y la explotación no autorizados.




  • Explotación de aplicaciones públicas (T1190 y T0819): esta técnica, que ocurre 53 veces en dominios empresariales y 19 veces en ICS, se dirige a aplicaciones accesibles desde Internet. Es una ruta de acceso inicial favorita para los atacantes, lo que muestra la necesidad crítica de una seguridad sólida de las aplicaciones externas.




  • Explotación para escalada de privilegios (T1068): Esta técnica, mencionada 20 veces, implica que los atacantes exploten vulnerabilidades para obtener mayores privilegios dentro de un sistema. Su aparición subraya la necesidad de una gestión y supervisión de privilegios eficaces dentro de las redes empresariales.





Además de los métodos dominantes, en 2023 también se vieron otras tácticas que contribuyeron a la diversa matriz de amenazas, como:






  • Explotación para ejecución de cliente (T1203)




  • Escalada de privilegios en dispositivos móviles (T1404)




  • Explotación de aplicaciones/sistemas (T1499.004)




  • Servicios remotos externos (T1133)




  • Compromiso de paso (T1189)




  • Escalada de privilegios en ICS (T0890)




  • Enlace malicioso (T1204.001)




  • Explotación de Servicios Remotos en Móvil (T1428)





Cada una de estas técnicas representa un desafío distinto en ciberseguridad y ofrece información sobre las tácticas en evolución de los ciberadversarios. Desde explotar aplicaciones públicas hasta aprovechar servicios remotos y ejecutar escalada de privilegios, estos métodos describen un panorama de amenazas sofisticado y multifacético. Comprender estas técnicas de ataque predominantes es crucial para desarrollar estrategias de defensa más efectivas y reforzar las medidas de ciberseguridad contra estas amenazas predominantes.





Amenazas más activas





Este año, ciertas vulnerabilidades destacaron como las más explotadas. Éstas incluyen:





CVE-2023-0669, CVE-2023-20887, CVE-2023-22952, CVE-2023-23397, CVE-2023-24880, CVE-2023-27350, CVE-2023-28252, CVE-2023-2868, CVE- 2023-29059, CVE-2023-34362





El volumen de aprovechamientos de estas vulnerabilidades indica tendencias en los vectores de ataque y enfatiza la necesidad de estrategias defensivas específicas. Se puede consultar la publicación del blog de TRU para obtener una lista detallada de las vulnerabilidades más explotadas.





CVETitleQualys Score (QVS)
CVE-2023-0669Fortra GoAnywhere Managed File Transfer (MFT) RCE Vulnerability95
CVE-2023-20887VMware Aria Operations for Networks Command Injection Vulnerability95
CVE-2023-22952SugarCRM Remote Code Execution (RCE) Vulnerability95
CVE-2023-23397Microsoft Outlook Elevation of Privilege Vulnerability95
CVE-2023-24880Windows SmartScreen Security Feature Bypass Vulnerability95
CVE-2023-27350PaperCut NG/MF Multiple Security Vulnerabilities100
CVE-2023-28252Windows Common Log File System Driver Elevation of Privilege Vulnerability95
CVE-2023-2868Barracuda Email Security Gateway Vulnerability95
CVE-2023-290593CX Desktop Client Supply Chain Vulnerability95
CVE-2023-34362MOVEit Transfer Injection Vulnerability100




Actores de amenazas más activos de 2023





En 2023, el panorama cibernético se vio sacudido por TA505, también conocido como CL0P Ransomware Gang. Este grupo planeó un ciberataque de alto perfil mediante la explotación de vulnerabilidades de día cero, y en particular explotaron vulnerabilidades de día cero en plataformas clave como GoAnywhere MFT, PaperCut, MOVEit y SysAid.





Su uso sofisticado de diversos tipos de malware para recopilar información y facilitar ataques los marcó como una amenaza importante. La gravedad de sus acciones provocó avisos de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI), destacando la necesidad de mejorar las medidas de ciberseguridad.





El malware más activo de 2023





En 2023, LockBit y Clop se han destacado en el ámbito del ransomware. LockBit, utilizando su modelo avanzado de ransomware como servicio, se ha dirigido a una variedad de organizaciones, incluso en los sectores de TI y finanzas. En particular, LockBit aprovechó vulnerabilidades como CVE-2023-27350 en PaperCut NG y CVE-2023-0699 en Google Chrome, lo que permitió a atacantes remotos eludir la autenticación y explotar la corrupción del montón.





Clop, conocido por explotar vulnerabilidades, ha llevado a cabo extensos ataques contra grandes empresas, especialmente en los sectores de finanzas, TI y atención médica. Las actividades de Clop incluyeron la explotación de CVE-2023-27350, CVE-2023-34362, CVE-2023-0669 y CVE-2023-35036. Estas vulnerabilidades iban desde la inyección de SQL en MOVEit Transfer, que permite el acceso a la base de datos, hasta una inyección de comando de autenticación previa en GoAnywhere MFT y eludir la autenticación en PaperCut NG.





El panorama de la ciberseguridad está evolucionando, con la proliferación de herramientas y conocimientos de piratería que permiten a los piratas informáticos menos capacitados explotar vulnerabilidades que antes solo eran accesibles a atacantes altamente sofisticados. Esto amplía el espectro de atacantes para incluir piratas informáticos avanzados, actores cibernéticos maliciosos con menos experiencia y activistas digitales, lo que marca un cambio significativo en la dinámica de las amenazas cibernéticas.





Estos casos resaltan la velocidad con la que las vulnerabilidades pueden pasar de la publicación a la explotación armada y luego a la explotación e ilustran la inmediatez con la que las amenazas cibernéticas evolucionan tras la divulgación de las vulnerabilidades. Esta rápida evolución desde la publicación hasta la explotación y el uso de armas enfatiza la necesidad crítica de que las organizaciones monitoreen de cerca las divulgaciones e implementen mecanismos de respuesta rápida para mitigar posibles ataques.





Conclusión





Al concluir el análisis del panorama de amenazas en 2023, es evidente que el rápido ritmo de utilización de vulnerabilidades como arma y la diversidad de actores de amenazas plantean desafíos importantes para las organizaciones a nivel mundial. Aquí hay algunas recomendaciones clave para reducir el riesgo:






  • Para evaluar con precisión el riesgo genuino que presentan las vulnerabilidades abiertas dentro de su organización, es esencial que las empresas empleen un conjunto completo de sensores, que van desde agentes hasta escáneres de red y escáneres externos.




  • Realice un inventario exhaustivo de todas las aplicaciones públicas y servicios remotos para garantizar que no sean vulnerables a vulnerabilidades de alto riesgo.




  • Emplear un enfoque multifacético para la priorización de vulnerabilidades. Concéntrese en aquellos que se sabe que son explotados en la naturaleza (comience con el CISA KEV), aquellos con una alta probabilidad de explotación (indicada por una puntuación EPSS alta) y aquellos con código de explotación disponible como arma.





Estas recomendaciones ayudarán a reforzar la necesidad crítica de un enfoque sólido y proactivo para la gestión de vulnerabilidades y riesgos, especialmente en una era cada vez más sofisticada y generalizada de amenazas cibernéticas.





FuenteQualys

viernes, 29 de diciembre de 2023

Monkey365: herramienta para revisiones de Microsoft 365, Azure y Microsoft Entra ID

Monkey365 es una herramienta de seguridad de código abierto que permite realizar revisiones de configuración de seguridad Microsoft 365, Azure y Microsoft Entra ID sin el peso significativo de las API de herramientas de aprendizaje o paneles de administración complejos.












Monkey365 también ofrece más de 160 pruebas y distintas maneras de identificar brechas de seguridad en la configuración y configuración del tenant deseado. Monkey365 ofrece recomendaciones valiosas sobre cómo configurar mejor esos ajustes para sacar el máximo provecho de Microsoft 365 o de la suscripción de Azure.





Monkey365 es un módulo PowerShell basado en colector que se puede utilizar para revisar la postura de seguridad de su entorno en la nube. Con Monkey365 puedes escanear posibles configuraciones erróneas y problemas de seguridad en las cuentas públicas de acuerdo con las mejores prácticas de seguridad y las normas de cumplimiento, en aplicaciones básicas de Azure, Microsoft Entra ID y Microsoft 365.





Por defecto, el informe se basa en los estándares CIS (Center for Internet Security), aunque posiblemente se extienda a otros. Los parámetros CIS para Azure y Microsoft 365 son directrices para las mejores prácticas de seguridad y cumplimiento.






  • CIS Microsoft Azure Foundations Benchmark v1.4.0




  • CIS Microsoft 365 Foundations Benchmark v1.4.0




  • CIS Microsoft Azure Foundations Benchmark v1.5.0




  • CIS Microsoft 365 Foundations Benchmark v1.5.0





La forma de instalación y uso se puede ver en el repositorio de su autor Juan Garrido (aka tr1ana)





FuenteSilverHack

dns0 servicio gratuito de DNS pensado para seguridad

La organización sin ánimo de lucro francesa dns0 ha lanzado un servicio público europeo de DNS que, según sus fundadores, debería proteger a los ciudadanos y organizaciones de la UE.





Aumenta enormemente la tasa de detección de dominios maliciosos, especialmente en sus primeras horas críticas, combinando inteligencia de amenazas examinada por humanos con heurística avanzada que identifica automáticamente patrones de alto riesgo.













dns0 apoya los protocolos de DNS modernos (DNS‑over‑HTTPS, DNS‑over‑TLS, DNS‑over‑QUIC, DNS‑over‑HTTP/3, DDR Encrypted Upgrade) que no son vulnerables a las escuchas y manipulaciones por parte de intermediarios de red malintencionados, o comprometidos, que enrutan paquetes entre tu dispositivo y nuestro servicio.





Además, dns0 ofrece un Internet “amigable para niños” sin anuncios, pornografía, citas, piratería y vídeos de YouTube para adultos. Al filtrar el contenido de Internet que no es adecuado para los niños, puede proporcionar un entorno en línea seguro para los niños en el hogar, la escuela y mientras viajan.





La configuración está disponible para todos los sistemas operativos y móviles.






  1. Por ejemplo, en Windows, abrir Ajustes.




  2. Ir a Red e Internet.




  3. Hacer clic en Wi-Fi (o Ethernet).




  4. Hacer clic en Propiedades de hardware, o ignore este paso si hizo clic en Ethernet.




  5. Hacer clic en el botón Editar junto a Asignación de servidor DNS.




  6. Selecciona Manual.




  7. Habilita IPv4.

    • Introducir 193.110.81.9 como DNS preferido.




    • Introducir 185.253.5.9 como DNS alternativo.






  8. Hacer clic en Guardar.





Dns0 ha sido creada por Romain Cointepas y Olivier Poitrey, cofundadores del proveedor de DNS NextDNS.





Fuentedns0.eu/es

miércoles, 20 de diciembre de 2023

Desmantelan al ransomware #BlackCat y obtienen algunas de las claves de descifrado

El Departamento de Justicia de EE.UU. (DoJ) anunció oficialmente la interrupción de la operación del ransomware BlackCat y creó una herramienta de descifrado que las víctimas pueden utilizar para recuperar el acceso a los archivos bloqueados por el malware.





Los documentos judiciales muestran que el FBI contó con la ayuda de una fuente humana confidencial (CHS) para actuar como afiliado de BlackCat y obtener acceso a un panel web utilizado para gestionar a las víctimas de la pandilla, en lo que es un caso de “hackear a los hackers”.









El mensaje de incautación indica que la operación policial fue realizada por la policía y agencias de investigación de EE.UU., Europol, Dinamarca, Alemania, Reino Unido, Países Bajos, Alemania, Australia, España y Austria.













BlackCat, también llamado ALPHV y Noberus, surgió en diciembre de 2021 y desde entonces se ha convertido en la segunda variante de ransomware como servicio más prolífica del mundo después de LockBit. También es la primera cepa de ransomware basada en lenguaje Rust detectada en la naturaleza.





El desarrollo pone fin a las especulaciones sobre una supuesta acción policial después de que su portal de filtración en la web oscura se desconectara el 7 de diciembre, solo para resurgir cinco días después con una sola víctima.





De todos modos el grupo dice que sigue trabajando y ya han creado un nuevo sitio web.









El FBI dijo que trabajó con docenas de víctimas en los EE.UU. para implementar el descifrador, salvándolas de demandas de rescate por un total de alrededor de 68 millones de dólares y que también obtuvo información sobre la red informática del ransomware, lo que le permitió recopilar 946 pares de claves públicas/privadas utilizadas por el grupo.





BlackCat, al igual que otras bandas de ransomware, utiliza un modelo de ransomware como servicio que involucra una combinación de desarrolladores principales y afiliados, que alquilan la carga útil y son responsables de identificar y atacar a instituciones víctimas de alto valor.





También emplea el esquema de doble extorsión para presionar a las víctimas para que paguen extrayendo datos confidenciales antes del cifrado. Con este acceso, el FBI supervisó silenciosamente la operación de ransomware durante meses mientras extraía claves de descifrado. Estas claves de descifrado permitieron al FBI ayudar a 500 víctimas a recuperar sus archivos de forma gratuita, ahorrando aproximadamente 68 millones de dólares en demandas de rescate.





“Los afiliados de BlackCat han obtenido acceso inicial a las redes de víctimas a través de varios métodos, incluido el aprovechamiento de credenciales de usuario comprometidas para obtener acceso inicial al sistema de víctimas”, dijo el Departamento de Justicia.





En total, se estima que el actor con motivación financiera comprometió las redes de más de 1.000 víctimas en todo el mundo para ganar cientos de millones de dólares en ingresos ilegales.





En todo caso, la caída ha demostrado ser una “bendición” para grupos rivales como LockBit, que ya está capitalizando la situación reclutando activamente afiliados desplazados y ofreciendo su sitio de filtración de datos para reanudar las negociaciones con las víctimas.





FuenteTHN

miércoles, 13 de diciembre de 2023

LogoFAIL: ataque al firmware, que afecta a Windows y Linux

Investigadores de seguridad descubrieron un cúmulo de agujeros en la interfaz unificada de firmware extensible (UEFI) que permite ejecutar código malicioso al iniciar el sistema y que hacen más de una década que están allí.












Un reporte de ArsTechnica detalla los hallazgos de Binarly, una firma de seguridad que analiza problemas potenciales en el firmware de las computadoras. En el marco de la Conferencia Black Hat Europa 2023, los de investigadores de Binarly revelaron que LogoFAIL aprovecha múltiples vulnerabilidades que han estado presentes por décadas en sistemas Windows y Linux.









LogoFAIL explota una vulnerabilidad en las bibliotecas de análisis de imágenes que utiliza UEFI durante el arranque. El ataque sustituye el logotipo del fabricante que se muestra al encender la computadora por otro archivo de aspecto idéntico que ha sido diseñado para ejecutar un script. Debido a que ocurre durante el proceso de arranque, no existe (por ahora) ninguna solución de seguridad que pueda detenerlo.





Para sacar provecho, el atacante debe reemplazar primero la imagen del logotipo que se encuentra en la partición que almacena el cargador de arranque (bootloader). Al reiniciar el equipo, el archivo infectado ejecutará el código malicioso durante la fase del entorno de ejecución del controlador (DXE), que es donde se realiza la mayor parte de inicialización del sistema. Esto impide que pueda ser detectado por cualquier solución de seguridad del CPU o del sistema operativo.

Una vez instalado, LogoFAIL crea un kit de arranque para permanecer en la computadora “para siempre” y sobrevive a cualquier formateo del disco.





Cómo eliminar LogoFAIL de Linux y Windows.





Debido a que LogoFAIL aprovecha las vulnerabilidades en la interfaz unificada de firmware extensible, cualquier placa madre que utilice UEFI está en riesgo. “Estas vulnerabilidades están presentes en la mayoría de los casos dentro del código de referencia, lo que afecta no a un solo proveedor sino a todo el ecosistema de este código y a los proveedores de dispositivos donde se utiliza”declaró Alex Matrosov, director ejecutivo de Binarly.





Los investigadores efectuaron una demostración de LogoFAIL en una computadora Lenovo ThinkCentre M70s con procesador Intel y medidas de seguridad de hardware activadas.











Debido a que el exploit afecta a todos los sistemas Intel, AMD y ARM, es necesario esperar a un parche del fabricante. Algunos equipos Dell y las Mac con procesadores Intel son inmunes a cualquier ataque de LogoFAIL. Esto se debe a que cuentan con mecanismos de seguridad que impiden la sustitución de los logotipos UEFI.





Hasta el momento no existe evidencia de que algún atacante haya sacado provecho, aunque los investigadores dejan claro que no hay modo de saberlo. Un atacante habría modificado el logotipo de la computadora sin que el usuario se percate, puesto que las vulnerabilidades tienen más de una década.





FuenteARSTechnica

"Usuarios internos malintencionados utilizan las vulnerabilidades conocidas contra sus organizaciones" [Crowdstrike]

Las fallas de elevación de privilegios son la vulnerabilidad más común aprovechada por personas internas corporativas cuando realizan actividades no autorizadas en las redes, ya sea con fines maliciosos o descargando herramientas riesgosas de manera peligrosa.












Un informe de Crowdstrike basado en datos recopilados entre enero de 2021 y abril de 2023 muestra que las amenazas internas están aumentando y que el uso de fallas de escalamiento de privilegios es un componente importante de la actividad no autorizada.





Según el informe, el 55% de las amenazas internas registradas por la empresa se basan en exploits de escalamiento de privilegios, mientras que el 45% restante introduce riesgos sin saberlo al descargar o hacer un mal uso de herramientas ofensivas (informes I y II).





Los empleados deshonestos suelen volverse contra su empleador porque les han dado incentivos financieros, por despecho o por diferencias con sus supervisores. CrowdStrike también clasifica los incidentes como amenazas internas cuando no son ataques maliciosos contra una empresa, como el uso de exploits para instalar software o realizar pruebas de seguridad.





Un usuario interno que aumenta sus privilegios sin autorización está abusando de su acceso y, como mínimo, está intentando eludir el Principio de Mínimo Privilegio (POLP). Según este principio, a los usuarios y procesos solo se les conceden los permisos mínimos necesarios para realizar las tareas asignadas. POLP es ampliamente considerado como una de las prácticas más efectivas para fortalecer la postura de ciberseguridad de una organización y les permite controlar y monitorear el acceso a la red y a los datos.2





Sin embargo, en estos casos, aunque no se utilizan para atacar a la empresa, comúnmente se utilizan de manera riesgosa, introduciendo potencialmente amenazas o malware en la red que los actores de amenazas podrían abusar.





Crowdstrike ha descubierto que los ataques lanzados desde organizaciones objetivo cuestan un promedio de 648.000 dólares por incidentes maliciosos y 485.000 dólares por incidentes no maliciosos. Estas cifras pueden ser incluso mayores en 2023.





Además del importante coste financiero de las amenazas internas, Crowdstrike destaca las repercusiones indirectas de los daños a la marca y la reputación.





Un típico ataque interno





Crowdstrike explica que utilizar vulnerabilidades de escalamiento de privilegios para obtener privilegios administrativos es fundamental para muchos ataques internos, ya que en la mayoría de los casos, los infiltrados deshonestos comienzan con acceso de bajo nivel a sus entornos de red.





Los privilegios más altos permiten a los atacantes realizar acciones como descargar e instalar software no autorizado, borrar registros o incluso diagnosticar problemas en su computadora utilizando herramientas que requieren privilegios de administrador.





Las fallas más explotadas para la escalamiento de privilegios locales por parte de personas internas deshonestas son las siguientes, según las observaciones de CrowdStrike:









Las fallas anteriores ya están enumeradas en el Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, ya que históricamente han sido utilizadas en ataques por parte de actores de amenazas. 





Incluso si un sistema ha sido parcheado para estas fallas, los usuarios internos pueden obtener privilegios elevados a través de otros medios, como fallas de secuestro de DLL en aplicaciones que se ejecutan con privilegios elevados, permisos de sistemas de archivos o configuraciones de servicios inseguros, o ataques Bring Your Own Vulnerable Driver (BYOVD).









Crowdstrike ha visto múltiples casos de explotación de CVE-2017-0213 que afectaron a una empresa minorista en Europa, donde un empleado descargó un exploit a través de WhatsApp para instalar uTorrent y jugar. Otro caso se refiere a un empleado despedido de una entidad de medios en los EE. UU.





La explotación de PwnKit fue observada por un empleado de una empresa de tecnología australiana que intentó obtener derechos administrativos para solucionar problemas informáticos.





Un ejemplo de explotación de CVE-2015-1701 se refiere a un empleado de una empresa de tecnología estadounidense que intentó eludir los controles existentes para instalar una máquina virtual Java no autorizada.





Si bien casi todos estos incidentes de amenazas internas no se considerarían ataques maliciosos, introducen riesgos al modificar la forma en que debe ejecutarse un dispositivo o al ejecutar potencialmente programas maliciosos o inseguros en la red.





Los errores internos introducen riesgos





Casi la mitad de los incidentes internos registrados por Crowdstrike se refieren a percances no intencionales, como pruebas de exploits que se salen de control, la ejecución de herramientas de seguridad ofensivas sin las medidas de protección adecuadas y la descarga de código no examinado.





Por ejemplo, CrowdStrike dice que algunos incidentes fueron causados por profesionales de seguridad que probaron exploits y kits de exploits directamente en una estación de trabajo de producción en lugar de a través de una máquina virtual segmentada del resto de la red.





Los analistas informan que la mayoría de los casos de este tipo involucran herramientas como Metasploit Framework y ElevateKit, mientras que las vulnerabilidades introducidas con mayor frecuencia como resultado de actividades descuidadas son las siguientes:









La introducción de estas fallas en las redes corporativas puede aumentar el riesgo de seguridad general al proporcionar a los actores de amenazas que ya tienen un punto de apoyo en la red vectores adicionales para su explotación.





Sin embargo, lo que es aún más importante, no es raro que los actores de amenazas creen exploits de prueba de concepto falsos o herramientas de seguridad que instalen malware en los dispositivos.





Por ejemplo, en mayo, los actores de amenazas distribuyeron exploits falsos de prueba de concepto de Windows que infectaron dispositivos con la puerta trasera Cobalt Strike. En otro ataque, Rapid7 descubrió que los actores de amenazas estaban distribuyendo PoC falsos para exploits Zero-Day que instalaban malware en Windows y Linux.





En diciembre de 2022, Falcon Complete observó un incidente en el que un usuario interno descargaba y preparaba ElevateKit, un framework de escalamiento de privilegios comúnmente aprovechado junto con Cobalt Strike. Además de ElevateKit, el usuario también preparó Mimikatz y PowerLurk, dos herramientas que también se usan comúnmente en pruebas de penetración para volcar credenciales y establecer persistencia a través de Windows Instrumentación de Gestión (WMI). 





En ambos escenarios, instalar el exploit falso en una estación de trabajo permitiría el acceso inicial a una red corporativa, lo que podría provocar ciberespionaje, robo de datos o ataques de ransomware.





FuenteBC

miércoles, 15 de noviembre de 2023

Windows Insider cambia las reglas del firewall para SMB

Windows 11 ya no agregará reglas de Firewall de Windows Defender SMB1 al crear nuevos recursos compartidos SMB a partir de la Compilación 25992 de Canary Channel Insider Preview Build 25992 de hoy.












Antes





Anteriormente, al crear un recurso compartido se configuraba automáticamente el firewall para habilitar las reglas en el grupo “Compartir archivos e impresoras” para los perfiles de firewall determinados. Esto comenzó en Windows XP SP2 con la introducción del entonces nuevo firewall integrado, y la regla fue diseñada tanto para SMB1 como para facilitar la implementación de una amplia gama de tecnologías que utilizan SMB, incluida la impresión, la política de grupo heredada y otras.





Ahora





Windows ahora configura automáticamente el nuevo grupo “Compartir archivos e impresoras (restrictivo)” cuando crea un recurso compartido SMB, que ya no contiene los puertos NetBIOS entrantes 137-139. Esos puertos no los utiliza SMB2 o posterior y son un artefacto de SMB1. Si reinstala el servidor SMB1 por algún motivo de compatibilidad heredada, deberá asegurarse de que esos puertos del firewall se vuelvan a abrir.





“Este cambio impone un mayor grado de seguridad predeterminada de la red, además de acercar las reglas de firewall de las SMB al comportamiento del rol “Servidor de archivos” de Windows Server”dijeron Amanda Langowski y Brandon LeBlanc de Microsoft.





“Los administradores aún pueden configurar el grupo “Compartir archivos e impresoras” si es necesario, así como modificar este nuevo grupo de firewall. Planeamos actualizaciones futuras para esta regla para eliminar también los puertos entrantes ICMP, LLMNR y Spooler Service y restringirlos solo a los puertos necesarios para compartir SMB”, agregó el director principal de programas de Microsoft, Ned Pyle, en una publicación de blog.





El cliente SMB ahora también permite conexiones con un servidor SMB a través de TCP, QUIC o RDMA a través de puertos de red personalizados diferentes de los valores predeterminados codificados; anteriormente, SMB solo admitía TCP/445, QUIC/443 y RDMA iWARP/5445.









Estas mejoras son parte de un amplio esfuerzo para fortalecer la seguridad de Windows y Windows Server, como lo destacan otras actualizaciones publicadas en los últimos meses.





Tras la introducción de Windows 11 Insider Preview Build 25982 en Canary Channel, los administradores ahora pueden imponer el cifrado del cliente SMB para todas las conexiones salientes.





Al exigir que todos los servidores de destino admitan SMB 3.x y cifrado, los administradores de Windows pueden garantizar que todas las conexiones sean seguras, mitigando así los riesgos de ataques de escucha e interceptación.





Los administradores también pueden configurar los sistemas Windows 11 para bloquear el envío de datos NTLM a través de SMB automáticamente en conexiones salientes remotas para frustrar ataques de paso de hash, retransmisión NTLM o descifrado de contraseñas, comenzando con Windows 11 Insider Preview Build 25951.





Con Windows 11 Insider Preview Canary Build 25381, Redmond también comenzó a requerir la firma SMB (firmas de seguridad) de forma predeterminada para todas las conexiones para defenderse contra ataques de retransmisión NTLM.





El año pasado, en abril, Microsoft reveló la fase final de deshabilitar el protocolo de intercambio de archivos SMB1, de décadas de antigüedad, para Windows 11 Home Insiders.





La empresa también reforzó las defensas contra ataques de fuerza bruta en septiembre de 2022 mediante la introducción de un limitador de tasa de autenticación SMB diseñado para mitigar el impacto de los intentos fallidos de autenticación NTLM entrante.





FuenteBC

lunes, 6 de noviembre de 2023

CVSS 4.0: nueva versión de evaluación de vulnerabilidades





Se ha publicado oficialmente la última versión del Sistema Común de Puntuación de Vulnerabilidades (CVSS v4). La nueva versión del sistema, brinda mejoras y funcionalidades adicionales que llevarán la evaluación de vulnerabilidades a un nuevo nivel.









CVSS (Common Vulnerability Scoring System) se trata de un sistema de puntuación que proporciona un estándar abierto, el cual ha sido un pilar fundamental en la gestión de vulnerabilidades IT a nivel mundial desde su introducción en 2005. A lo largo de los años, ha experimentado diversas revisiones y actualizaciones para seguir siendo relevante y adaptarse a las cambiantes amenazas y tecnologías.





Los retos propuestos por la versión CVSS v3 y los objetivos a cumplir en esta nueva versión CVSS v4 son los siguientes:






  • La puntuación base de CVSS usada como entrada para el análisis de riesgo. La puntuación base del CVSS es, en efecto, un factor clave para determinar la gravedad de una vulnerabilidad. Sin embargo, no debería ser el único factor determinante, ya que solo considera los aspectos técnicos de la vulnerabilidad, sin tener en cuenta el contexto empresarial, la criticidad de los activos o el panorama de amenazas, que son igualmente importantes en un análisis de riesgos holísticos.




  • Solamente es pertinente para sistemas IT. CVSS se diseñó principalmente para sistemas informáticos de software y hardware. Como tal, puede no captar algunos matices específicos de los sistemas no informáticos o de las tecnologías operativas que pueden tener perfiles de riesgo y consecuencias diferentes si se ven comprometidos.




  • Las puntuaciones publicadas por los proveedores son normalmente altas o críticas (7.0+). Esto puede ser un problema si los vendedores exageran la gravedad de las vulnerabilidades. Sin embargo, este problema radica más en la aplicación del CVSS por parte del proveedor que en el propio sistema.




  • Falta de precisión – menos de 99 puntuaciones CVSS son discretas en la práctica. Aunque CVSS ofrece un sistema de puntuación basado en decimales, el uso práctico suele dar lugar a pocas puntuaciones discretas, lo que limita su nivel de detalle. Un sistema más granular podría ofrecer una mejor diferenciación entre vulnerabilidades.




  • Las métricas temporales no tienen un impacto real en la puntuación CVSS. Las métricas temporales en CVSS, que incluyen factores como el estado actual del exploit y el nivel de remediación, suelen tener menos peso en la puntuación final. Aunque su inclusión es importante, su impacto puede no ser tan significativo como sería deseable.




  • El proceso de cálculo es complicado y contradictorio. La puntuación CVSS implica complejas ecuaciones matemáticas para garantizar una representación equilibrada de diversos factores. Para los usuarios no técnicos, esta complejidad puede resultar abrumadora y parecer contradictoria. La simplificación, sin menospreciar la precisión, podría mejorar la usabilidad y la comprensión del sistema.





Además, el equipo de NIST hace autocrítica e hincapié en la complejidad y la naturaleza aparentemente arbitraria del algoritmo de puntuación CVSS. El sistema de puntuación CVSS fue desarrollado por un equipo diverso de expertos y se basa en una amplia investigación y análisis. Aunque pueda parecer confuso, es el producto de un proceso deliberado para equilibrar una variedad de factores diferentes en la puntuación de vulnerabilidades. Además, hacen énfasis en que siempre debe buscarse la mejora continua y la simplificación.





¿Cuáles son las novedades de CVSS v4?





A pesar de que en las siguientes secciones se detallarán cuáles son las novedades principales de CVSS v4, de manera genérica se pueden resumir en los siguientes puntos:






  • Mayor nivel de detalle en las métricas base.




  • Se eliminan aspectos que causan ambigüedad.




  • Se simplifican las métricas de amenazas y se mejoran las puntuaciones del nivel de impacto.




  • Se incorporan atributos complementarios para las respuestas ante vulnerabilidades.




  • CVSS v4, a diferencia de CVSS v3.X, se puede aplicar a sistemas OT/ICS/IoT





Calculadora CVSS v4





Al igual que en las métricas, la calculadora de CVSS v4 incorpora varias novedades:










  • Se usan grupos de métricas para incorporar 15 millones de vectores CVSS en 271 conjuntos equivalentes.




  • Se ha solicitado la opinión de expertos para comparar los vectores que representan cada conjunto equivalente.




  • Se calcula el orden de los vectores desde el menos severo al de mayor criticidad.




  • Se determinan los límites entre lasValoraciones de Severidad Cualitativas< (Qualitative Severity Ratings) compatibles con los límites de severidad cualitativos deCVSS v3.X<.




  • Se agrupan los vectores de severidad cualitativa dentro del número de puntuaciones disponibles en un conjunto concreto (por ejemplo, 9.0 a 10.0 para riesgo crítico, 7.0 a 8.9 para riesgo alto, etc.).




  • Se hace uso de la interpolación para ajustar las puntuaciones en un grupo de vectores, de manera que se aseguren los cambios en el valor de los resultados de cualquier métrica al tener lugar un cambio de puntuación.





El enlace de acceso a esta calculadora se puede encontrar aquí y un curso gratuito sobre CVSS v4.0.





Fuente: Hispasec