Parches que tomaron prioridad en …



Las fallas de Escritorio remoto fueron una prioridad de parcheo este año, ya que Microsoft distribuyó arreglos y las empresas se apresuraron a proteger a los empleados remotos.

Microsoft parcheó una cantidad récord de vulnerabilidades y exposiciones comunes (CVE) en 2020, presionando a los equipos de seguridad abrumados para que apliquen correcciones y protejan a un número creciente de empleados remotos. Muchas de estas fallas afectaron al Escritorio remoto, un servicio de Home windows que resultó crítico para la fuerza de trabajo remota.

Este año, los lanzamientos mensuales del martes de parches de Microsoft acumularon un overall de 1.245 errores corregidos, lo que supera con creces los 840 parcheados en 2019 y son más que 2017 y 2018 combinados, señala Satnam Narang, ingeniero de investigación de Tenable. La mayoría de los meses trajeron al menos 110 parches, con junio y septiembre marcando el recuento mensual más alto con 129 parches cada uno.

«Solo la gran cantidad de CVE que se están parcheando, especialmente desde marzo hasta aproximadamente septiembre, seguimos viendo 100 CVE cada mes», dice Narang. «El equipo y yo nos quedamos impresionados por su gran volumen».

Como los equipos de seguridad aprendieron este año, Microsoft encontró y parcheó muchas vulnerabilidades afectadas Protocolo de escritorio remoto de Windows (RDP) – el protocolo de Microsoft para permitir a los usuarios acceder a estaciones de trabajo o servidores de Windows – Cliente de escritorio remoto, Servicios de escritorio remoto y Puerta de enlace de escritorio remoto. Si bien todos estos justificaban un parcheo prioritario antes de 2020, la pandemia de COVID-19 y el posterior cambio al trabajo desde casa los convirtió en objetivos atractivos.

«Debido a que somos una fuerza laboral remota, creo que cualquier cosa que afecte las herramientas que necesitamos estará lista para ser atacada», dice Dustin Childs de Zero Working day Initiative de Trend Micro. «Las dos áreas fértiles para los ataques son las herramientas que usan los trabajadores remotos y la infraestructura que las respalda».

Este año, los atacantes cambiaron sus estrategias de apuntar a aplicaciones, como lo han hecho en años pasados, a apuntar a protocolos, explica Childs. Estos incluyen RDP además de DNS, que ha sido blanco de múltiples errores, TCP / IP y SMB, que «también sigue siendo muy preferred», agrega.

Los protocolos son un objetivo amplio y sus complejidades han sido objeto de ataques durante años, continúa. Pero a medida que las organizaciones se vuelven más complejas y agregan más sistemas, los atacantes están aprendiendo que pueden alcanzar muchos objetivos si persiguen protocolos de bajo nivel. Un mayor enfoque en la seguridad de las aplicaciones también está empujando a los atacantes a buscar objetivos subyacentes para superar las defensas mejoradas del software package.

El tipo más común de ataque dirigido a RDP es el de fuerza bruta en esto, los delincuentes intentan encontrar el nombre de usuario y la contraseña para una conexión RDP probando diferentes combinaciones hasta que una funciona. Estos ataques se dispararon a principios de marzo, con un total de 3.300 millones durante los primeros 11 meses de 2020, Kaspersky estudios muestran. Fueron 969 millones durante el mismo período en 2019.

No es sorprendente que Remote Desktop haya sido un gran objetivo este año, dice Andrew Brandt, investigador principal de Sophos. Las organizaciones con miles de empleados colocaron datos críticos en un segmento de sus redes y los limitaron al acceso interno. Ahora los trabajadores necesitan acceder a esos activos desde casa.

«Existe el doble desafío de proteger nuestras cosas y hacer que nuestros empleados no tengan impedimentos para trabajar», explica. Es un equilibrio difícil de lograr porque los dos objetivos «a veces funcionan en extremos opuestos».

Un objetivo históricamente candente
Las vulnerabilidades de RDP fueron el centro de atención en 2019 con las fallas BlueKeep y DejaBlue ampliamente reportadas. Si bien ninguno de los errores corregidos este año mereció un nombre, Narang señala que las fallas de RDP siempre deben captar la atención de los equipos de seguridad. No solo son invaluables para los criminales que buscan datos y fondos, sino que son el «pan y la mantequilla» para los operadores de ransomware.

Los atacantes que buscan apoderarse de un sistema, ya sea RDP o cualquier otra cosa en una empresa, generalmente tienen dos objetivos. Podrían establecer la permanencia configurando una puerta trasera para garantizar que su acceso no se corte, o podrían girar para hacerse cargo del controlador de dominio, el servidor de Trade o el servidor de SharePoint para ver si pueden trabajar en el entorno, dice Childs. . A partir de ahí, es una cuestión de lo que quieren hacer, ya sea implementar ransomware o robar datos.

Un rasgo peligroso de las vulnerabilidades de RDP es que normalmente son invisibles para los empleados. El hecho de que los equipos de seguridad vean una bandera roja depende del tipo de registro que tengan y de qué tan de cerca se monitorean esos registros. Con RDP, también depende de la configuración de prevención / detección de intrusiones en la red. En un momento en el que los analistas de seguridad están abrumados con alertas, estas pueden pasar desapercibidas.

La gravedad de una falla a menudo depende de dónde se encuentre: las vulnerabilidades en el servidor de escritorio remoto, por ejemplo, se consideran más graves que las del cliente de escritorio remoto, continúa Childs.

«Si puede hacerse cargo del servidor de escritorio remoto, por lo typical será algo que puede hacer de forma remota sin autenticarse y eso le da mucha potencia de ejecución de código», explica. «Esos son los que vimos que en realidad podrían ser desparasitables», un rasgo en la falla de RDP BlueKeep.

Las fallas en el cliente de escritorio remoto generalmente requieren un ataque de intermediario o el envío de una víctima a un servidor de escritorio remoto malicioso. Este paso adicional a menudo es un aspect que determina si un error se clasifica como crítico o importante, señala Childs. Si se requiere un intermediario o autenticación, una vulnerabilidad crítica puede considerarse importante. Los expertos advierten a los equipos que consideren cómo sus empresas utilizan un servicio en lugar de depender de un sistema de clasificación para priorizar los parches.

«La gravedad se basa no solo en la complejidad de poder lograr un exploit específico … sino también en aspectos como qué tan ampliamente distribuida está esta aplicación vulnerable en particular y cuáles son las circunstancias atenuantes por las cuales debe configurar la aplicación para que explotar es funcional en lugar de teórico «, dice Brandt. En algunos casos, el equipo de seguridad ofensiva de Sophos descubrió que las fallas importantes eran «bastante graves» cuando se les proporcionaba la información correcta.

En última instancia, la decisión de si una vulnerabilidad es crítica es una cuestión de criterio, dice Childs. O un líder de seguridad puede realizar la llamada o tiene que confiar realmente en la persona que la realiza.

«En mi entorno, sé que usamos RDP de manera extensiva, así que cualquier cosa que surja lo consideraré crítico», continúa. «No me importa si es posterior a la autenticación. No me importa si es un intermediario. Lo consideraré crítico en nuestro entorno porque sé cuánto confiamos en RDP».

Si una empresa no depende de RDP, estos parches pueden ser secundarios, agrega.

Más errores encontrados, más errores parcheados
El aumento en las fallas de seguridad descubiertas y corregidas este año puede al principio causar alarma entre las personas preocupadas por las herramientas y servicios cada vez más vulnerables. Pero los expertos en seguridad, tanto de Microsoft como de las empresas de seguridad, atribuyen el crecimiento a una mayor participación en los programas de recompensas por errores y un mayor enfoque en la seguridad defensiva durante un año en el que el trabajo remoto se convirtió en la norma.

«Cuando comenzó la cuarentena, hicimos una gran sincronización de estrategia en torno a &#39¿Cómo protegemos a nuestros clientes?&#39», Dice Ron Aquino, jefe de seguridad de la plataforma y mitigaciones en Microsoft. «Una de las cosas que nos llamó la atención es que existen ciertos protocolos que son muy importantes para el trabajo desde casa».

RDP se convirtió en un área importante de enfoque, continúa. El equipo hizo un «gran esfuerzo» para revisar RDP, especialmente el código que puede haber sido código heredado creado hace mucho tiempo, en busca de vulnerabilidades. Muchos de estos parches, especialmente los de RDP, se aplican a los clientes que ajustan la configuración predeterminada. Aquino señala que aquellos que se apegan a la configuración predeterminada de RDP y siguen las mejores prácticas son seguros.

Durante este tiempo, Microsoft decidió cambiar su programa de recompensas por errores e introducir escenarios para ayudar a los investigadores a decidir dónde deberían enfocar sus esfuerzos, agrega Justin Campbell, gerente de ingeniería de grupo principal de Microsoft Security. A fines de julio, habían actualizado su recompensa con nuevos pagos incrementados: hasta $ 100,000 USD por fallas de ejecución de código remoto que no requerían autenticación.

«Hicimos eso para varias categorías que pensamos que serían especialmente impactantes, pero tratamos de no especificar objetivos específicos porque no queremos darles a los investigadores anteojeras», dice. «Queremos que exploren los espacios donde todavía no estamos mirando, si es que existe un lugar así».

Si bien Campbell dice que estos incentivos fueron en parte responsables del crecimiento de la participación en las recompensas por errores, los datos muestran un aumento en los investigadores de seguridad que se registraron para enviar vulnerabilidades durante la pandemia. Más empresas están adoptando programas de divulgación de vulnerabilidades (VDP) y los piratas informáticos están mostrando interés, especialmente en las industrias en las que ya están activos.

Kelly Sheridan es la editora de private de Darkish Examining, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique