ConnectWise corrige silenciosamente una falla que ayuda a los phishers – Krebs on Security


Conectar Sabio, una aplicación de computer software de escritorio remoto autohospedado que es ampliamente utilizada por los proveedores de servicios administrados (MSP), advierte sobre un ataque de phishing inusualmente sofisticado que puede permitir a los atacantes tomar el regulate remoto de los sistemas de los usuarios cuando los destinatarios hacen clic en el enlace incluido. La advertencia llega solo unas semanas después de que la compañía corrigiera silenciosamente una vulnerabilidad que facilita que los phishers lancen estos ataques.

Un ataque de phishing dirigido a clientes de MSP que utilizan ConnectWise.

ConnectWise es extremadamente well-liked entre los MSP que administran, protegen y brindan servicio a una gran cantidad de computadoras de forma remota para las organizaciones cliente. Su producto proporciona un cliente de software package dinámico y un servidor alojado que conecta dos o más computadoras y proporciona acceso remoto temporal o persistente a esos sistemas cliente.

Cuando un técnico de soporte quiere usar ConnectWise para administrar una computadora de forma remota, el sitio internet de ConnectWise genera un archivo ejecutable que ConnectWise firma digitalmente y que el cliente puede descargar a través de un hipervínculo.

Cuando el usuario remoto que necesita asistencia hace clic en el enlace, su computadora se conecta directamente a la computadora del administrador remoto, quien puede controlar la computadora del cliente como si estuviera sentado frente a ella.

Si bien los sistemas operativos modernos de Microsoft Windows preguntarán de manera predeterminada a los usuarios si desean ejecutar un archivo ejecutable descargado, muchos sistemas configurados para la administración remota por parte de los MSP deshabilitan esa función de manage de cuentas de usuario para esta aplicación en particular.

En octubre, investigador de seguridad ken pyle alertó a ConnectWise de que el archivo ejecutable de su cliente se genera en función de los parámetros controlados por el cliente. Es decir, un atacante podría crear un enlace de descarga del cliente ConnectWise que rebotaría o enviaría la conexión remota desde los servidores del MSP a un servidor que controla el atacante.

Esto es peligroso porque muchas organizaciones que confían en los MSP para administrar sus computadoras a menudo configuran sus redes para que solo se permitan conexiones de asistencia remota provenientes de las redes de sus MSP.

Utilizando una cuenta de prueba gratuita de ConnectWise, Pyle le mostró a la empresa lo fácil que period crear un ejecutable de cliente firmado criptográficamente por ConnectWise y que puede eludir esas restricciones de pink haciendo rebotar la conexión a través del servidor de management de ConnectWise de un atacante.

“Usted, como atacante, tiene handle whole sobre los parámetros del enlace, y ese enlace se inyecta en un archivo ejecutable que el cliente descarga a través de una interfaz world wide web no autenticada”, dijo Pyle, socio y desarrollador de exploits en la empresa de seguridad. Es asumido. «Puedo enviar este enlace a una víctima, hará clic en este enlace y su estación de trabajo se conectará de nuevo a mi instancia a través de un enlace en su sitio».

Una combinación de capturas de pantalla que el investigador Ken Pyle reunió para ilustrar la vulnerabilidad de ScreenConnect.

El 29 de noviembre, aproximadamente a la misma hora, Pyle publicó una publicación de web site sobre sus hallazgosConnectWise emitió un aviso advirtiendo a los usuarios que estén en guardia contra una nueva ronda de intentos de phishing por correo electrónico que imitan las alertas de correo electrónico legítimas que la empresa envía cuando detecta actividad inusual en la cuenta de un cliente.

“Somos conscientes de una campaña de phishing que imita los correos electrónicos de Alerta de nuevo inicio de sesión de ConnectWise Command y tiene el potencial de conducir al acceso no autorizado a instancias legítimas de Control”, dijo la compañía.

ConnectWise dijo que lanzó actualizaciones de software program el mes pasado que incluían nuevas protecciones contra la vulnerabilidad de desvío que Pyle informó. Pero la compañía dijo que no hay razón para creer que los phishers sobre los que advirtieron estén explotando alguno de los problemas informados por Pyle.

“Nuestro equipo evaluó rápidamente el informe y determinó que el riesgo para los socios period mínimo”, dijo el portavoz de ConnectWise. Calle Tarrán dijo. “Sin embargo, la mitigación fue straightforward y no presentó ningún riesgo para la experiencia de los socios, por lo que la pusimos en el entonces estable 22.8 construir y el entonces canario 22.9 construir, que se lanzaron como parte de nuestros procesos normales de lanzamiento. Debido a la baja gravedad del problema, no emitimos (y no planeamos) emitir un aviso o alerta de seguridad, ya que reservamos esas notificaciones para problemas de seguridad graves”.

Pyle dijo que duda que el problema que informó no esté relacionado con los ataques de phishing sobre los que advierte ConnectWise.

“No quieren hablar sobre mi trabajo (ningún aviso) y recomiendan aplicar el parche que emitieron en respuesta a mi trabajo”, escribió Pyle cuando se le pidió que comentara sobre la respuesta de ConnectWise.

El aviso de ConnectWise advirtió a los usuarios que antes de hacer clic en cualquier enlace que parezca provenir de su servicio, los usuarios deben validar que el contenido incluya «dominios propiedad de fuentes confiables» y «enlaces para ir a lugares que reconozcan».

Pero Pyle dijo que este consejo no es demasiado útil para los clientes, porque en su escenario de ataque, los phishers pueden enviar correos electrónicos directamente desde ConnectWise, y el enlace corto que se presenta al usuario es un dominio comodín que termina en el propio nombre de dominio de ConnectWise: screenconnect. com. Es más, examinar el enlace excesivamente largo generado por los sistemas de ConnectWise ofrece pocas thoughts para el usuario medio.

“Está firmado por ConnectWise y proviene de ellos, y si se registra para una instancia de prueba gratuita, puede enviar invitaciones por correo electrónico a las personas directamente de ellos”, dijo Pyle.

Las advertencias de ConnectWise surgen en medio de informes de incumplimiento de otro importante proveedor de tecnologías de soporte remoto: Ir revelado el 30 de noviembre que está investigando un incidente de seguridad que involucra “actividad inusual dentro de nuestro entorno de desarrollo y servicios de almacenamiento en la nube de terceros. El servicio de almacenamiento en la nube de terceros actualmente lo comparten tanto GoTo como su afiliado, el servicio de administración de contraseñas. Ultimo pase.

En su propio aviso sobre el incidente, LastPass dijo que creen que los intrusos aprovecharon la información robada durante una intrusión anterior en agosto de 2022 para obtener acceso a «ciertos elementos de la información de nuestros clientes». Sin embargo, LastPass sostiene que sus «contraseñas de clientes permanecen encriptadas de forma segura debido a la arquitectura Zero Expertise de LastPass».

En resumen, esa arquitectura significa que si pierde u olvida su importante contraseña maestra de LastPass, la que necesita para desbloquear el acceso a todas sus otras contraseñas almacenadas con ellos, LastPass no puede ayudarlo con eso, porque no almacenan eso. Pero esa misma arquitectura teóricamente significa que los piratas informáticos que podrían ingresar a las redes de LastPass tampoco pueden acceder a esa información.



Enlace a la noticia first