Llegamos a ustedes gracias a:



Columnas de opinión

Lecciones aprendidas de los eventos de seguridad del 2021

Por: Susan Bradley, Columnista de CSOonline.com

[02/01/2022] Estamos a inicios de año, y más que predecir los problemas de seguridad que puedan venir, prefiero echar un vistazo a los problemas de seguridad que hemos tenido, y asegurarnos así que hemos aprendido todas las lecciones necesarias de ellos.

Ataque de SolarWinds: Conozca la postura de seguridad de sus proveedores

Ha pasado literalmente un año desde que el ataque a la cadena de suministro de software de SolarWinds saltó a las noticias y todavía estamos tratando de comprender plenamente el potencial de este tipo de ataque. Los atacantes fueron sigilosos y solo se descubrieron porque una de las empresas afectadas, FireEye, tenía capacidades de élite para supervisar y detectar intrusiones.

Me pregunto si, en estas situaciones, mi empresa tendría las herramientas y los recursos necesarios para saber si se estaba produciendo un ataque de este tipo. Mi opinión es que no solo yo no me daría cuenta de esta intrusión, sino que muchos de ustedes tampoco tendrían los recursos para hacerlo. Según Microsoft, el atacante fue capaz de "falsificar tokens SAML que suplantan a cualquiera de los usuarios y cuentas existentes en la organización, incluidas las cuentas con grandes privilegios". Esto debería hacernos reflexionar sobre el origen del software que instalamos y preguntarnos si podemos confiar en nuestros proveedores y sus procesos de seguridad, por no hablar de nuestros propios procesos de seguridad.

Lecciones aprendidas: Revise con sus proveedores de software sus procesos de seguridad. Busque comportamientos anormales, especialmente en las cuentas con muchos privilegios. Revise cuando se crean nuevas confianzas federadas o se añaden credenciales a procesos que pueden realizar acciones como mail.read o mail.readwrite.  También querrá bloquear los puntos finales C2 conocidos en el firewall perimetral de su red.

Ataque a Exchange Server: Proteja los sistemas heredados

En marzo del 2021, se produjo un ataque muy perturbador. Los servidores Exchange instalados localmente sufrieron un ataque directo utilizando una falla de día cero. En un principio, Microsoft indicó que los ataques estaban dirigidos, pero más tarde se reveló que los ataques estaban mucho más extendidos. Microsoft también descubrió que muchos servidores de correo estaban lamentablemente desactualizados en cuanto a parches, por lo que era difícil actualizarlos rápidamente. Microsoft tuvo que preparar parches para plataformas más antiguas para mantener a los clientes a salvo. Incluso llegó a limpiar y parchear de forma proactiva los servidores Exchange que aún estaban desprotegidos.

Lecciones aprendidas: Asegúrese de que cualquier servidor heredado está protegido. Especialmente en el caso de los servidores Exchange locales, que suelen ser el blanco de los ataques. Asegúrese de asignar los recursos adecuados para parchear estos sistemas heredados. El correo electrónico es un punto de entrada clave a las redes, tanto por los ataques de phishing que llegan a través del correo electrónico, como por el hecho de que los atacantes comprenden la dificultad de parchear estos servidores.

Además, no hay que fiarse necesariamente de la evaluación de amenazas y riesgos proporcionada por el proveedor. Microsoft indicó en un primer momento que los ataques eran limitados y selectivos, pero estaban mucho más extendidos e incluso afectaban a las pequeñas empresas.

PrintNightmare: Mantenga las impresoras actualizadas

El siguiente incidente de seguridad importante es uno con el que todavía estamos lidiando casi seis meses después. En julio, Microsoft publicó una actualización fuera de banda para una vulnerabilidad llamada PrintNightmare. Para los administradores de red, esta PrintNightmare se ha convertido en una pesadilla de gestión de la impresión. El software del spooler de impresión es un código antiguo de la era NT que muchos instan a Microsoft a reescribir totalmente, pero esto causaría grandes trastornos a los proveedores de impresión de terceros. Aunque la pandemia nos ha alejado de la impresión en persona y nos ha llevado a procesos de impresión más remotos, incluso las impresoras de PDF dependen del spooler de impresión para desplegar e imprimir en PDF.

Incluso ahora seguimos rastreando los efectos secundarios de los múltiples parches relacionados con el spooler de impresión que se han publicado desde entonces. En las actualizaciones opcionales publicadas a finales de diciembre se incluyó una corrección de varios problemas relacionados con la impresión. Se corrigen los problemas por los que los clientes de impresión de Windows pueden encontrar los siguientes errores al conectarse a una impresora remota compartida en un servidor de impresión de Windows:

0x000006e4 (RPC_S_CANNOT_SUPPORT)
0x0000007c (ERROR_INVALID_LEVEL)
0x00000709 (ERROR_INVALID_PRINTER_NAME)

He visto que algunos administradores de red han optado por no poner parches debido a los efectos secundarios perturbadores de estas actualizaciones.

Lecciones aprendidas: Incluso en la pandemia hay que imprimir. Siempre que una actualización incluya una corrección para el servicio de cola de impresión, debe asignar los recursos adecuados para realizar pruebas antes de la actualización. Utilice recursos de terceros, como PatchManagement.org o el foro Sysadmin en reddit, para controlar los efectos secundarios y las soluciones que pueda necesitar, en lugar de dejar su empresa desprotegida. El servicio de cola de impresión debería estar desactivado en los servidores y estaciones de trabajo que no tengan necesidad de imprimir, y solo ejecutarse en los dispositivos y servidores que deban tener activada la impresión.

Ransomware: Bloquear la comunicación RPC y SMB

Entre los incidentes de seguridad que veremos en el 2022, el ransomware seguirá siendo un riesgo importante. Ahora está incorporado en las pólizas de ciberseguro y el gobierno de Estados Unidos ha organizado grupos de trabajo para ofrecer más protección, información y orientación a las empresas para afrontar este riesgo.

Lecciones aprendidas: Utilice sus firewalls locales y de red para evitar la comunicación RPC y SMB. Esto limitará el movimiento lateral, así como otras actividades de ataque. A continuación, active las funciones de protección contra manipulaciones para evitar que los atacantes detengan los servicios de seguridad. A continuación, imponga contraseñas de administrador local fuertes y aleatorias. Le recomiendo que utilice la solución de contraseñas de administrador local (LAPS) para asegurarse de que tiene contraseñas aleatorias.

Supervise la limpieza de los registros de eventos. Concretamente, Windows genera el evento de seguridad ID 1102 cuando esto ocurre. A continuación, asegúrese de que los activos orientados a Internet cuentan con las últimas actualizaciones de seguridad. Audite estos activos regularmente para detectar actividades sospechosas. Por último, determine dónde inician sesión las cuentas con grandes privilegios y exponen sus credenciales. Supervise e investigue los eventos de inicio de sesión (ID de evento 4624) en busca de atributos de tipo de inicio de sesión. Las cuentas con altos privilegios no deberían estar presentes en las estaciones de trabajo.

Susan Bradley lleva aplicando parches desde antes de los días de Code Red/Nimda y recuerda exactamente dónde estaba cuando llegó el SQL slammer (intentando comprar algo en eBay y preguntándose por qué Internet iba tan lento). Escribe la columna Patch Watch para Askwoody.com, es moderadora del listserve PatchManagement.org, y escribe una columna de consejos de seguridad de Windows para CSOonline.com. En la vida real, es la responsable de TI en su empresa, Tamiyasu, Smith, Horn y Braun, donde gestiona una flota de servidores Windows, despliegues de Microsoft 365, instancias de Azure, computadoras de escritorio, algunas Macs, varios iPads, algunos dispositivos Surface, varios iPhones y trata de mantener los parches al día en todos ellos. Además, realiza investigaciones informáticas forenses para la rama de consultoría de litigios de la empresa.