En estas últimas semanas, el desafío para la mayoría de nosotros sin duda ha sido el de administrar y asegurar el entorno de TI mientras se trabaja desde la casa. El hecho de extender la red corporativa a través de VPN y el uso de herramientas de colaboración han impuesto una confianza nunca antes vista. Y con eso, han surgido vulnerabilidades y, en algunos casos, ha ocurrido explotación. Revisemos algunos eventos importantes que se han generado en tiempos de pandemia.
Incremento en las campañas de Phishing
Los atacantes han aprovechado la necesidad de las personas de informarse en relación al avance del COVID-19 en sus respectivos países y a nivel mundial. Y es así como mediante la creación de ataques de phishing, se aprovecha para explotar vulnerabilidades conocidas y que no han sido parchadas. Muchos de estos mensajes se hacen pasar por la OMS, los Institutos de Salud de cada país u otras fuentes confiables de información. Durante esta crisis, sigue siendo una prioridad informar a los usuarios sobre estos ataques y continuar aplicando las actualizaciones necesarias para proteger los sistemas.
Ataques a los softwares de colaboración
Si hay una aplicación que ha dado que hablar, esta ha sido Zoom. Ya sea porque la aplicación es la más utilizada por las empresas para dar continuidad a la operación frente a las medidas de cuarentena. Pero lamentablemente, también ha hecho noticia producto de las vulnerabilidades descubiertas. Los atacantes han podido interrumpir las sesiones en vivo. Producto de esto, su seguridad ha sido cuestionada por muchos, incluso tomando la decisión de no seguir utilizándola. Hoy mismo se acaban de descubrir dos incidentes, el primero, relacionado a la venta en la Dark Web miles de credenciales de Zoom, las cuales se pueden estar utilizando para múltiples tipos de ataques. Y un segundo incidente, se publicaron más de 350 credenciales de cuenta de Zoom en un foro, varias pertenecientes a instituciones educativas, pequeñas empresas y al menos una empresa médica.
Zoom ha respondido rápidamente, proporcionando actualizaciones para combatir esta reciente ola de ataques.
Servicio RDP
Se ha observado en las últimas semanas un aumento en la cantidad de máquinas que exponen el servicio de escritorio remoto (RDP) a Internet. Pero los atacantes han tomado nota y han ajustado sus tácticas en consecuencia. En enero, Microsoft lanzó parches para dos fallas críticas en RDP. El año pasado, se revelaron una serie de vulnerabilidades importantes, incluida la vulnerabilidad BlueKeep (CVE-2019-0708). A finales de marzo, Shodan había detectado un notorio aumento en los servicios expuestos de RDP. El número inicialmente informado se ajustó a la baja más adelante, pero todavía hay un aumento en los puertos RDP expuestos, lo que se atribuye a que las empresas, en una movida bastante arriesgada, están publicando el servicio para habilitar el trabajo remoto de sus usuarios.
Vulnerabilidad de Windows SMBv3
Dos días después de que Microsoft lanzara los parches de marzo, se lanzó una actualización para la vulnerabilidad de Windows SMBv3 asociada con CVE-2020-0796. Esta vulnerabilidad existe en Windows 10 1903 y 1909 y atrajo mucha atención porque recibió el puntaje más alto del CVSS, 10 puntos. No requiere autenticación de usuario y podría usarse para propagar un gusano. Importante: asegúrese de haber aplicado esta actualización.
Windows 10
Microsoft retrasó la fecha de finalización del soporte para las versiones Enterprise y Education de Windows 10 1709 del 14 de abril al 13 de octubre. Esto se traduce en una preocupación menos. Significa también que Windows 10 1709 y 1803 alcanzarán el fin del soporte con una diferencia de un mes uno del otro: 1803 finaliza el 10 de noviembre, así que planifique la migración de sus sistemas dentro de sus posibilidades. Pero la preocupación mayor es sin lugar a dudas el control sobre las actualizaciones que se aplica en un sistema que ejecuta Windows 10 Home, sistema operativo por defecto en muchos de los PCs de la casa que se utilizan para la conexión desde los hogares a los ambientes corporativos. Ideal que se pueda validar la postura de seguridad de dichos sistemas antes de otorgar el acceso a la red de la empresa.
¿Qué se espera para los parches de abril?
- Microsoft debería proporcionar sus actualizaciones periódicas en todos los ámbitos para las estaciones de trabajo y servidores, así como para las aplicaciones Office, SharePoint, etc. Hay que estar atento a una solución para la vulnerabilidad de Font informada en el Aviso 20006. Para esta última, existe un parche de día cero disponible proporcionado por un tercero.
- Mozilla liberó actualizaciones de seguridad esta semana para Firefox, Firefox ESR y Thunderbird. Es posible que no veamos nada de ellos la próxima semana.
- Del mismo modo, Google lanzó una actualización de seguridad para Chrome esta semana, por lo que no se espera ver nada en Patch Tuesday.
- No hay anuncios previos para Adobe Acrobat, Reader o Flash, pero no se descarta una actualización la próxima semana.
Los desafíos de la pandemia de COVID-19 no dan respiro. El mundo de TI está cambiando rápidamente y también los objetivos de los atacantes. Como hemos visto con Zoom, Microsoft y otros, debemos adaptar las políticas de parchado para abordar la contingencia actual. El nuevo escenario de trabajo desde el hogar nos está obligando a evaluar continuamente el estado de seguridad de las aplicaciones, por lo que se prevé más versiones que aborden un número menor de vulnerabilidades a medida que se descubren y corrigen.
Una vez más, el parchado perdura como una medida esencial de prevención de ataques.
Acerca del autor:
Miguel Rosales M. es fundador y CEO de Adaptive Security, cuenta con una especialización en Cybersecurity en el Massachusetts Institute of Technology (MIT) y con la certificación internacional ISC2 – Certified Information Systems Security Professional (CISSP).