Compass — Edición #4
Aumento de los ataques a los servicios RDP
Con la fuerte adopción del trabajo remoto (teletrabajo), debido al actual escenario de la pandemia, muchas empresas han decidido hacer público algunos servicios para mantener la continuidad del negocio, pero, no lo hicieron de manera planificada y segura.
Con base en las informaciones tomadas de Shodan , un motor de búsqueda de renombre mundial que constantemente “escanea” la internet en busca de dispositivos conectados, hubo un aumento en el número de sistemas accesibles vía servicio Remote Desktop Protocol (RDP).
El RDP es un protocolo utilizado en servicios de escritorio remoto, anteriormente conocido como Terminal Services, uno de los componentes de Microsoft Windows que permite al usuario acceder a la información y programas en una computadora remota, a través de una conexión de red.
En consecuencia, SANS, líder mundial en capacitación y certificaciones de seguridad cibernética, identificó un aumento del 30% de los escaneos en los servicios RDP, es decir, un aumento significativo en el escaneo que busca esos servicios expuestos públicamente en la Internet.
Para demostrar esto, Kaspersky, empresa rusa productora de softwares de seguridad, famosa por su antivirus, informó de un aumento considerable en la detección de ataques de brute force contra los servicios RDP. Un ataque de fuerza bruta o brute force consiste en adivinar, por prueba y error, un nombre de usuario y contraseña, y así ejecutar procesos y acceder a sitios web, computadoras y servicios, en nombre de ese usuario y con los mismos privilegios.
Aunque los Servicios de Área de Trabajo Remoto (RDS) pueden ser una forma rápida de habilitar el acceso remoto a los empleados, hay varios desafíos de seguridad que necesitan ser considerados antes de que puedan usarse como una estrategia de acceso remoto.
Desde 2019, nuestro equipo de DFIR, responsable del área de análisis forense digital y respuesta a incidentes, ha estado trabajando en casos relacionados con ransomware, donde además del e-mail, uno de los vectores de acceso inicial más utilizados fue el comprometimiento del servicio RDP. Esto sigue una tendencia que se espera que aumente, especialmente en el escenario actual. Maze Ransoware, del que hablamos en la edición N°3 de la semana pasada, es un ejemplo de ransomware que utiliza la técnica “RDP Brute Force” como táctica de acceso inicial.
Recomendamos que el acceso al servidor de las empresas sea realizado por medio de una capa de seguridad adicional, como una red privada virtual o VPN, para no ser expuesto en la internet.
Implemente una política de contraseña y un doble factor de autenticación y realice auditorías constantes de los registros de acceso remoto. Microsoft proporciona pautas de seguridad para la adopción de área de trabajo remoto.
PerSwaysion
los investigadores de seguridad de la empresa de ciberseguridad Group-IB de Singapur, descubrieron una campaña de phishing la cual la llamaron PerSwaysion, ya que tiene como objetivo el servicio de Microsoft Sway.
Esta campaña existe, al menos, desde agosto de 2019, pero hay varias otras campañas que están actualmente en curso. El objetivo de esta campaña es inducir a las víctimas a proporcionar sus credenciales de servicios de Microsoft, como Office 365, SharePoint y OneNote.
El ataque comienza con la recepción de un e-mail de un socio comercial, cuya cuenta ha sido comprometida, conteniendo un archivo PDF benigno adjunto. En este caso no hay falsificación del remitente, el e-mail se envía realmente desde la cuenta del socio, lo que dificulta la detección automática.
El e-mail se presenta como una notificación de uso compartido de archivos Office 365. Para aumentar su credibilidad, el PDF imita el formato de la notificación real del Office 365, especificando el nombre completo, la dirección del e-mail y la empresa remitente.
Al hacer clic en “Read Now”, el usuario es direccionado a una página fake para ingresar sus credenciales.
Recomendamos, siempre que sea posible, el uso de un segundo factor de autenticación, es decir, una contraseña conocida como token, similar a los servicios de banking por Internet, por ejemplo. A nivel corporativo, es esencial habilitar el UAL (Enable Unified Audit Log) y su integración con las soluciones de SIEM, para administrar eventos e informaciones de seguridad.
Se debe indicar a los usuarios que presten atención a las páginas a las que acceden, por ejemplo, los dominios oficiales de algunos servicios de Microsoft, en este caso son: office.com, office365.com, microsoft.com, entre otros.
Group-IB ha creado un sitio web en el que las empresas pueden verificar si algunos de sus e-mails fueron comprometidos en alguna campaña de PerSwaysion. URL del sitio: group-ib.com/landing/publicalert.html
Oracle Weblogic
en abril, Oracle, empresa de tecnología multinacional de los Estados Unidos, famosa por el desarrollo y comercialización de bases de datos, lanzó un conjunto de patches de seguridad (correcciones de errores) que repararon 405 vulnerabilidades en varios de sus productos, asunto que abordamos con más detalle en la edición N°2.
Recientemente, la empresa publicó que uno de los defectos corregidos en este conjunto de patches (CVE-2020–2883) ahora está siendo explotado, es decir, ya existen atacantes que están utilizando esta vulnerabilidad para intentar ejecutar acciones maliciosas. Esta es una falla que afecta al WebLogic Server. Oracle WebLogic Server es un servidor de aplicaciones Java EE.
Recomendamos con urgencia la aplicación de esta corrección y la restricción del tráfico del protocolo T3 y T3S al WebLogic Server, que puede ser visualizado en el sitio web de Oracle, buscándolo por el Doc ID 2665794.1
La Corte Suprema Brasileña x Medida Provisoria 954
El 24 de abril de 2020, la Ministra Rosa Weber, suspendió la MP 954, que establece el intercambio de datos de usuarios de empresas de telecomunicación, como nombres, números de teléfono y direcciones, de personas físicas o jurídicas, con el Instituto Brasileño de Geografía y Estadística (IBGE) para la producción de estadísticas oficiales durante la pandemia del nuevo coronavirus, con el objetivo de realizar entrevistas en carácter no presencial en el ámbito de encuestas domiciliares.
Por entender que la MP 954 viola dispositivos constitucionales como el derecho a la privacidad, la vida, la dignidad humana, la honra, la confidencialidad de la imagen y el sigilo de los datos, varios partidos políticos y el Consejo Federal de la OAB (Orden de Abogados de Brasil), presentó acciones directas de inconstitucionalidad — ADIN, ante el Tribunal Supremo Federal de Brasil — SFT, para detener tales violaciones.
El juicio de estas acciones comenzó el día 6 de mayo y terminó el 7 de mayo de 2020, donde en una sesión conjunta, el STF se posiciono, casi por unanimidad, por la suspensión de la Medida Provisoria.
Los ministros se basaron en pilares constitucionales, que justificaron sus posiciones. Los diez ministros de la Corte que votaron a favor de la suspensión se refirieron a los derechos y garantías fundamentales, a los principios de proporcionalidad y razonabilidad y, de manera precisa y de carácter educacional, a la Ley General de Protección de Datos Personales — LGPD, incluso señalando, por ejemplo, la inadecuación de hacer el Informe de Impacto de Protección de Datos (RIPD) después de recibir la información por parte de IBGE.
El STF lo hizo bien, cumpliendo su papel de guardián de la Constitución, y ahora le corresponde al Congreso Nacional rechazar o no la MP 954 que ha causado mucha polémica y que va en contra de la protección de la privacidad de los datos personales.
Fuentes:
http://www.stf.jus.br/portal/cms/verNoticiaDetalhe.asp?idConteudo=442902
https://www.congressonacional.leg.br/materias/medidas-provisorias/-/mpv/141619
