• No hay productos en el carrito.

Vulnerabilidades que debes conocer

Vulnerabilidades, todos sabemos qué son, pero pocos sabemos cuáles son las más críticas en estos últimos años.

A continuación, veremos 6 de las principales vulnerabilidades de los últimos años.

MS17 – Eternal blue – Wannacry

Hay que entender que Eternal Blue es una vulnerabilidad que afecta al protocolo SMB, el cual se suele utilizar para compartir archivos en la red local y acceder a dispositivos. Por otro lado, Wannacry es un Ransomware, el cual, creó presuntamente el norcoreano Park Jin Hyok.

El día 14 de Abril de 2017, Shadow Brokers filtró un exploit para poder explotar esta vulnerabilidad y, aunque sorprenda, era de la NSA.

En Marzo, Microsoft ya lo había parcheado y se consideraba una vulnerabilidad fácil de parchear y muy complicada de explotar ya que la NSA no es que dejase mucha documentación añadida.

El problema comenzó a aparecer cuando se añadió a metasploit, cualquiera podía ejecutarlo y comenzó a hacerse conocido. MS17, permite que se toma el control de cualquier máquina que sea vulnerable.

Fue entonces cuando apareció Wannacry, donde su creador hizo que cundiese el pánico en miles de empresas a lo largo de todo el mundo, ya que utilizaba técnicas de infección parecidas a las de un troyano, pero además usaba EternalBlue, para propagarse por la red de la víctima.

Usando esta combinación, se consigue tomar el control total de las máquinas de la red y además encriptar absolutamente todo a lo que se tenga acceso, facilitando a los ciberdelincuentes a realizar todo tipo de maldades.

Bluekeep

Esta vulnerabilidad es igual de crítica que EternalBlue, pero la diferencia se encuentra en que afecta al protocolo RDP, en vez de SMB.

Tengamos en cuenta que este protocolo se encarga del acceso remoto de Microsoft y que la mayoría de máquinas criticas lo tienen activado para ser gestionadas desde lugares externos a la red local, por lo que la mayoría de empresas cuentan con este servicio publicado.

Hasta ahora no han aparecido exploits realmente peligrosos, pero si existen exploits como prueba de concepto, los cuales si se configuran correctamente pueden instalar backdoors, hacer minados o labores de inteligencia. Pero ¿Cuál es el problema? Si se configura erróneamente, produce pantallazos azules de Windows o lo que es lo mismo, una especie de denegación de servicio.

Bluekeep

Esta vulnerabilidad es igual de crítica que EternalBlue, pero la diferencia se encuentra en que afecta al protocolo RDP, en vez de SMB.

Tengamos en cuenta que este protocolo se encarga del acceso remoto de Microsoft y que la mayoría de máquinas criticas lo tienen activado para ser gestionadas desde lugares externos a la red local, por lo que la mayoría de empresas cuentan con este servicio publicado.

Hasta ahora no han aparecido exploits realmente peligrosos, pero si existen exploits como prueba de concepto, los cuales si se configuran correctamente pueden instalar backdoors, hacer minados o labores de inteligencia. Pero ¿Cuál es el problema? Si se configura erróneamente, produce pantallazos azules de Windows o lo que es lo mismo, una especie de denegación de servicio.

SMB Ghost o CoronaBlue

Esta vulnerabilidad apareció el 10 de Marzo de 2020 como CVE-2020-0796, afectando a solo a equipos con Windows 10 y Windows Server Core, en el protocolo de Microsoft Server Message Block 3.1.1. (SMB), el cual te permite utilizar varios servicios como la compartición de archivos en una red.

Ya existen exploits ejecutables para esta vulnerabilidad y la mejor forma de solventarlo es descargar manualmente los parches disponibles (que básicamente limitan el algoritmo de compresión usado en el protocolo).

Otra opción puede ser bloquear los puertos de este protocolo como el 445 desde el firewall, pero solo permitirá que se pueda trabajar en LAN y no previene de ataques internos desde dentro de la red.

Proxyshell

Es una recopilación de tres agujeros de seguridad que permiten a un atacante controlar servidores de correo MS Exchange.

CVE-2021-31207 , permite a un atacante autentificado, ejecutar código arbitrario de forma remota y con permisos de SYSTEM.

CVE-2021-34473, permite ejecución remota de código sin autenticar.

CVE-2021-34523, realiza escalada de privilegios en Exange PowerShell Backend, permitiendo ejecución de código arbitrario autenticado en los servidores de Microsoft Exchange.

En resumen, podríamos decir que estas tres vulnerabilidades son una verdadera joya para ciberdelincuentes si además le añades Ransomware como LockFile.

Proxyshell

Es una recopilación de tres agujeros de seguridad que permiten a un atacante controlar servidores de correo MS Exchange.

CVE-2021-31207 , permite a un atacante autentificado, ejecutar código arbitrario de forma remota y con permisos de SYSTEM.

CVE-2021-34473, permite ejecución remota de código sin autenticar.

CVE-2021-34523, realiza escalada de privilegios en Exange PowerShell Backend, permitiendo ejecución de código arbitrario autenticado en los servidores de Microsoft Exchange.

En resumen, podríamos decir que estas tres vulnerabilidades son una verdadera joya para ciberdelincuentes si además le añades Ransomware como LockFile.

SIGRED

Está basado en la manera en que el servidor DNS de Windows hace uso de una consulta entrante, así como en la respuesta a dicha consulta. En caso de modificarla de una determinada manera, podemos efectuar un desbordamiento de búfer, permitiéndonos tomar el control del servidor. Esta vulnerabilidad fue muy mencionada ya que puede utilizarse de una manera “wormable”, lo que significa que puede desarrollarse malware que se transmita de equipo a equipo a través de este fallo de seguridad, permitiendo a cualquiera tomar el control de diferentes máquinas masivamente.

Log4j

Finalmente, no podíamos dejar de mencionar la vulnerabilidad más reciente, la cual, ha sido un verdadero quebradero de cabeza para medio mundo: Log4j, la librería que da nombre a la vulnerabilidad es ampliamente utilizada por dispositivos y aplicaciones de prácticamente todas partes como IoT, aplicaciones webs, router, impresoras, etc..

Esta librería, era mantenida únicamente por un escaso grupo de personas de forma altruista, por lo que mantenían un estado inmaduro de seguridad.

En resumen, el fallo de seguridad consiste en el aprovechamiento de la habilidad de la librería de hablar distintos protocolos, lo que en principio es útil, pero si no se bastiona correctamente puede acabar siendo una catástrofe, ya que un atacante con intenciones maliciosas puede hacer uso de este característica para enviar peticiones HTTP malformadas que hagan llamadas a servidores en su poder y que hablen estos protocolos (por ejemplo LDAP o DNS), para que estos respondan con código malintencionado que la librería redirija al servidor legítimo, para que este lo interprete con terribles consecuencias.

Log4j

Finalmente, no podíamos dejar de mencionar la vulnerabilidad más reciente, la cual, ha sido un verdadero quebradero de cabeza para medio mundo: Log4j, la librería que da nombre a la vulnerabilidad es ampliamente utilizada por dispositivos y aplicaciones de prácticamente todas partes como IoT, aplicaciones webs, router, impresoras, etc..

Esta librería, era mantenida únicamente por un escaso grupo de personas de forma altruista, por lo que mantenían un estado inmaduro de seguridad.

En resumen, el fallo de seguridad consiste en el aprovechamiento de la habilidad de la librería de hablar distintos protocolos, lo que en principio es útil, pero si no se bastiona correctamente puede acabar siendo una catástrofe, ya que un atacante con intenciones maliciosas puede hacer uso de este característica para enviar peticiones HTTP malformadas que hagan llamadas a servidores en su poder y que hablen estos protocolos (por ejemplo LDAP o DNS), para que estos respondan con código malintencionado que la librería redirija al servidor legítimo, para que este lo interprete con terribles consecuencias.

Otros artículos que te pueden interesar

29 junio, 2023

0 respuestas sobre "Vulnerabilidades que debes conocer"

Deja un mensaje

Copyright © 2024 - Todos los derechos reservados. - Aviso Legal - Devoluciones

Supportscreen tag