Tras poner a la venta el año pasado varias herramientas de hacking y exploits dirigidas a sistemas y servidores que ejecutan Microsoft Windows, el grupo de hackers Shadow Brokers ahora ha decidido liberar estos malwares (que permiten romper sistemas, redes y firewalls) de forma paulatina. Así lo afirman los análisis de Trend Micro en los que se han encontrado más de 35 troyanos, exploits dirigidos a varios sistemas y vulnerabilidades del servidor, junto con Fuzzbunch, un marco de trabajo de hacking orientado a la red (similar a la herramienta de detección de penetración Metasploit) que ejecuta los exploits.

Shadow Brokers es solo uno de los muchos grupos cuyo arsenal de amenazas puede poner en riesgo a los negocios provocando un daño significativo en la reputación y la interrupción de las operaciones y afectar a su balance final. Entre las vulnerabilidades explotadas por las herramientas de hacking se encuentran:

  • CVE-2008-4250 (exploit que es denominado “EclipsedWing”, parcheado en octubre de 2008 vía MS08-67)
  • CVE-2009-2526, CVE-2009-2532, y CVE-2009-3103 (“EducatedScholar”, parcheado en octubre de 2009 vía MS09–050)
  • CVE-2010-2729 (“EmeraldThread”, parcheado en septiembre de 2010 vía MS10-061)
  • CVE-2014-6324 (“EskimoRoll”, parcheado en noviembre de 2014 vía MS14-068)
  • CVE-2017-7269 (un fallo de seguridad en Microsoft Internet Information Services 6.0)
  • CVE-2017-0146 y CVE-2017-0147 (“EternalChampion”, parcheado en marzo de 2017 vía MS17-010)

Algunas de las herramientas de hacking encadenan varios fallos de seguridad para ejecutar el exploit dado que muchos de estos exploits son relativamente antiguos. Es por ello que, el equipo del Centro de Respuesta de Seguridad de Microsoft (MSRC) emitió rápidamente una advertencia de seguridad detallando los parches/correcciones que son blanco de los exploits confirmados en la última descarga de Shadow Brokers:

  • TROJ_EASYBEE.A
  • TROJ_EDUSCHO.A
  • TROJ_EFRENZY.A
  • TROJ_EQUATED.G (diversas variantes)
  • TROJ_ETERNALROM.A
  • TROJ_EXCAN.A
  • TROJ_STUXNET.LEY
  • TROJ64_EQUATED.E

En base a los análisis en curso de Trend Micro, las plataformas afectadas incluyen servidores de email privados y clientes de correo electrónico basados en la web, así como software de colaboración de negocio. Los sistemas y servidores Windows 2000, XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 se ven afectados por exploits que aprovechan los protocolos de Internet y de red. Algunos de estos incluyen: Protocolo de Acceso a Mensajes de Internet (IMAP), autenticación de red (Kerberos), Protocolo de Desktop Remoto (RDP) y servicio de Llamada de Procedimiento Remoto (RPC).

¿Qué significa para las empresas?

El parche desempeña un papel vital en la lucha contra estas amenazas. Muchos de estos exploits de la última descarga de Shadow Broker se aprovechan de vulnerabilidades que las empresas pueden evitar razonablemente, dada la disponibilidad de sus soluciones/parches. Sin embargo, hay muchas organizaciones que pueden verse afectadas por estas amenazas dado que ejecutan sistemas y servidores en Windows 8 (versiones 8 y 8.1), XP, Vista, 2000 y Windows Server 2008. Para las empresas que utilizan Windows Server 2003, el riesgo es extremo, puesto que Microsoft ya concluyó el soporte para el sistema operativo hace dos años.

Las herramientas de hacking también se dirigen a vulnerabilidades en aplicaciones basadas en correo electrónico junto con plataformas de software relacionadas con negocios, particularmente aquellas que gestionan funciones de colaboración en el lugar de trabajo. Los sistemas operativos de Windows Server son también parte integral de la infraestructura de red, datos y aplicaciones de muchas empresas en todas las industrias de todo el mundo.

Las noticias iniciales indican que los exploits y las herramientas de hacking filtradas se dirigieron principalmente a bancos internacionales. Sin embargo, cualquier agente de amenaza que pueda conseguir que estos malware caigan en sus manos puede modificarlos con fines particulares contra sus objetivos de interés, incluso incluyendo plataformas más nuevas y sistemas operativos.

¿La mejor solución? Un enfoque multicapa

Al no haber ninguna solución “mágica” para estas amenazas, es clave contar con un enfoque multicapa para mitigarlas. Los administradores de TI/sistemas pueden desplegar cortafuegos, así como sistemas de prevención y detección de intrusiones que pueden inspeccionar y validar el tráfico entrante y saliente del perímetro de la empresa, al tiempo que evitan que el tráfico sospechoso o malicioso entre en la red.

Los profesionales de la tecnología de la información y la seguridad también pueden considerar la posibilidad de asegurar las conexiones remotas de su organización al requerir que los usuarios empleen redes privadas virtuales cuando accedan remotamente a datos y activos corporativos. La desactivación de protocolos y componentes innecesarios u obsoletos (o aplicaciones que los utilizan), como SMB1, a menos que se necesite lo contrario, también puede reducir la superficie de ataque de la compañía.

En este sentido, cabe destacar que promover la concienciación de las plantillas en materia de ciberseguridad también ayuda a mitigar la exposición de la compañía a amenazas similares, especialmente cuando se trata de ataques de ingeniería social. Así, es necesario llevar a cabo una incorporación y configuración de capas adicionales de seguridad para las conexiones remotas, desde la autenticación a nivel de red, a la restricción de privilegios de usuario y políticas de bloqueo de cuenta, y el uso de pasarelas RDP, para encriptar conexiones de escritorio remoto.

Y es que, las herramientas de hacking y exploits se basan en fallos de seguridad para romper los sistemas y servidores por lo que las organizaciones pueden evitar ataques que utilicen estos exploits manteniendo actualizado el OS y el software instalado en ellas, empleando parches virtuales e implementando una política robusta de administración de parches para la organización. Las empresas también pueden considerar la migración de su infraestructura a las versiones más nuevas y soportadas por sistemas operativos para mitigar los riesgos del fin de la vigencia del software.

shadow-brokers-nsa-hacking

 

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia @Drodriguezleal

Deja un comentario