2020-2021 fueron años inusualmente difíciles en el campo de la seguridad de la información. La pandemia aceleró el ritmo de descubrimiento de nuevas técnicas de ataque y la motivación del atacante fue alta debido al impacto potencial de cada ataque. Además, las metodologías de trabajo – que han cambiado – llevaron a la exposición de nuevas vulnerabilidades y un aumento en la superficie de ataque de la infraestructura de las organizaciones.
5 Razones por las que un Proyecto de Hardening Debe Ser Su Máxima Prioridad Este Año
Hemos recopilado algunas de las vulnerabilidades más críticas en 2020-2021:
- Vulnerabilidad de Zerologon- CVE-2020-1472
- Vulnerabilidad de DNS de Microsoft: CVE-2020-1350
- Vulnerabilidad de elevación de privilegios de DirectX: CVE-2018-8554
- Vulnerabilidad de ejecución remota de código de modelado de texto de Windows: CVE-2021-40465
- Vulnerabilidad de suplantación de Windows CryptoAPI: CVE-2020-0601
- Vulnerabilidad de elevación de privilegios de Windows Win32k: CVE-2021-1732
- Vulnerabilidad de omisión de la característica de seguridad de inicio de sesión web de Azure AD: CVE-2021-27092
- Vulnerabilidad de elevación de privilegios del servicio WLAN de Windows – CVE-2021-1646
- Vulnerabilidad de omisión de la característica de seguridad de Kerberos KDC – CVE-2020-17049
- Vulnerabilidad de suplantación de identidad de Windows: CVE-2020-16922
VULNERABILIDAD ZEROLOGON
CVE-2020-1472
Descubierto en agosto de 2020, Zerologon se clasificó como una vulnerabilidad crítica. Esta vulnerabilidad surge debido a una falla técnica en el esquema de autenticación criptográfica del Protocolo Remoto de Netlogon. Este protocolo es responsable de la autenticación de usuarios en redes basadas en dominios. Un atacante con acceso de un cliente puede cambiar correctamente la contraseña del controlador de dominio y controlar todos los servicios del Directorio Activo de la red del dominio.
VULNERABILIDAD DEL SERVIDOR DNS DE MICROSOFT
CVE-2020-1350
Esta vulnerabilidad se encuentra en el binario dns.exe del DNS. dns.exe es responsable de procesar las consultas DNS para los servidores DNS de Windows. El ataque se basa en una técnica de "stack overflow" cuando el servidor DNS malintencionado envía grandes volúmenes de datos al servidor DNS de la víctima como respuesta SIG. El límite de tamaño de 4KB de un paquete UDP se anula enviando un indicador Truncar a través de UDP como encabezado de respuesta. Esto obliga al servidor de la víctima a esperar y escuchar los datos adicionales a través de una conexión TCP. De esta manera, el atacante puede enviar paquetes con un tamaño de más de 64 KB, lo que provoca que el stack se desborde. dns.exe lee estos datos adicionales que conducen a la explotación del código remoto.
Un atacante exitoso puede obtener acceso completo al Directorio Activo con privilegios de administrador y puede controlar todo el dominio de la red. Microsoft recomienda restringir el tamaño máximo de un paquete de respuesta DNS entrante basado en TCP al siguiente valor en el registry del sistema.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Valor = 0xFF00
VULNERABILIDAD ELEVACIÓN DE DE PRIVILEGIO DE DIRECTX
CVE-2018-8554
Se sabe que Microsoft DirectX contiene fallas. Una de ellas es el hecho de que no puede manejar correctamente los objetos de memoria. Un atacante puede usar una aplicación especialmente diseñada para aprovechar esta vulnerabilidad corrompiendo la memoria. Una vez que la memoria está dañada, el atacante puede ejecutar comandos remotos en el modo Kernel. La integridad, la confidencialidad y la disponibilidad del sistema de destino pueden ser secuestradas, ya que el atacante podría eliminar, instalar y modificar cualquier programa, así como las cuentas de usuario en el sistema.
VULNERABILIDAD DE EJECUCIÓN DE CÓDIGO REMOTO WINDOWS TEXT SHAPING
CVE-2021-40465
Windows Text Shaping no valida las entradas correctamente. Esto provoca una vulnerabilidad de ejecución remota de código, que permite al atacante enviar y ejecutar algunos códigos maliciosos hacia un servidor de Microsoft que es víctima. Esta vulnerabilidad existe en todas las versiones de los servidores de Windows desde 2008 hasta 2019. Un atacante puede comprometer todo el sistema debido a esta vulnerabilidad. El atacante no necesita acceso físico para explotar esta vulnerabilidad y puede explotarse de forma remota.
VULNERABILIDAD DE SPOOFING DE CRYPTOAPI EN WINDOWS
CVE-2020-0601
Windows CryptoAPI (crypt32.dll) no valida correctamente los certificados ECC. Esto puede hacer que otra vulnerabilidad de Windows Server sea relevante: la Criptografía de Curva Elíptica es una técnica criptográfica que utilizan los servidores de Windows para firmar los ejecutables. El atacante puede aprovechar esta vulnerabilidad y firmar los ejecutables maliciosos con un certificado ECC falsificado que muestra que está firmado por una fuente válida. El usuario confiará en el programa malicioso y lo ejecutará en su sistema cuando parezca firmado por una fuente legítima.
La explotación exitosa puede usarse para ejecutar programas maliciosos en el sistema de manera legítima, para realizar ataques Man-In-The-Middle y para descifrar los datos confidenciales del usuario que se envían a través de este programa malicioso.
VULNERABILIDAD ELEVACIÓN DE PRIVILEGIOS WINDOWS WIN32K
CVE-2021-1732
Existe un error en el controlador de gráficos de Windows “win32kfull!NtUserCreateWindowEx”. El campo WndExtra de una ventana se puede cambiar para que se trate como un desplazamiento en lugar de ser llenado por el valor de un atacante. Esto permite que el atacante obtenga permisos de escritura, lo que eventualmente aumenta el privilegio de un usuario normal a NT AUTHORITY\SYSTEM. El atacante puede entonces controlar todo el sistema.
VULNERABILIDAD PUENTEO DE LA FUNCIÓN DE SEGURIDAD DE INICIO DE SESIÓN EN LA WEB DE AZURE AD
CVE-2021-27092
Microsoft introdujo una nueva forma de iniciar sesión en PCs unidas al Directorio Activo de Azure, que desafortunadamente contiene un error. La vulnerabilidad existe en la forma como el inicio de sesión web de Azure Active Directory permite la exploración arbitraria desde los puntos de conexión de terceros utilizados para la autenticación federada. Permite que un atacante con acceso físico al dispositivo obtenga acceso no autorizado.
VULNERABILIDAD ELEVACIÓN DE PRIVILEGIO DEL SERVICIO WINDOWS WLAN
CVE-2021-1646
El servicio de configuración automática de WLAN (AutoConfig Service) en los servidores de Windows no tiene un sistema adecuado para la validación de entrada. Un atacante remoto desde dentro de la red local puede ejecutar perfectamente los códigos maliciosos arbitrarios en el sistema para obtener acceso completo al sistema. Esta vulnerabilidad existe en todos los servidores de Windows desde 2008 hasta 2019. Los atacantes no necesitan autenticación para aprovechar esta vulnerabilidad.
VULNERABILIDAD PUENTEO DE LA FUNCIÓN DE SEGURIDAD DE KERBEROS KDC
CVE-2020-17049
Esta vulnerabilidad existe en el protocolo de autenticación Kerberos. KDC no maneja adecuadamente los tickets de servicio. El atacante puede comprometer un servicio que está obligado a utilizar KCD (Delegación Restringida de Kerberos) y utilizarlo para moderar el ticket de servicio que inválido para la delegación. Luego obliga al KDC a aceptarlo. Esto permite que el atacante inicie sesión en el sistema como cualquier usuario, incluidos los usuarios del grupo de “usuarios protegidos”.
VULNERABILIDAD DE WINDOWS SPOOFING
CVE-2020-16922
La validación incorrecta de firmas de archivos en el sistema operativo Windows conduce a la vulnerabilidad de suplantación (spoofing) en Windows. Después de la explotación exitosa de esta vulnerabilidad, el atacante podría eludir las funciones de seguridad y cargar archivos firmados incorrectamente. El atacante también podría falsificar el contenido de la página. Un atacante podría eludir los mecanismos de seguridad diseñados para evitar que se carguen archivos mal firmados en un escenario de ataque.
Mitigación
La mitigación de todas estas vulnerabilidades se puede manejar implementando dos controles básicos de seguridad de la información:
- Fortalezca sus servidores: el hardening del servidor se refiere a cambiar la configuración predeterminada del servidor para minimizar la superficie de ataque de la organización. Los cambios de configuración generalmente se realizan en protocolos y servicios no seguros e innecesarios que a menudo exponen la red a vulnerabilidades.
- Mantenga sus servidores actualizados a la última versión. Microsoft corrige la mayoría de las vulnerabilidades mediante sus servicio de Actualización de Servidores Windows (WSUS).