Header Ads Widget

Ticker

6/recent/ticker-posts

SolarWinds, Solorigate y lo que significa para las actualizaciones de Windows

 


Microsoft anunció recientemente que los atacantes de SolarWinds habían visto su código fuente de Windows. (Normalmente, solo los clientes gubernamentales clave y los socios de confianza tendrían este nivel de acceso a las "cosas" de las que está hecho Windows). Los atacantes pudieron leer, pero no cambiar, la salsa secreta del software, lo que generó preguntas e inquietudes entre Microsoft. clientes. ¿Significaba, quizás, que los atacantes podían inyectar procesos de puerta trasera en los procesos de actualización de Microsoft?

Primero, un poco de antecedentes sobre el ataque SolarWinds , también llamado Solorigate : un atacante entró en una compañía de herramientas de administración / monitoreo remoto y pudo inyectarse en el proceso de desarrollo y construir una puerta trasera. Cuando el software se actualizó mediante los procesos de actualización normales establecidos por SolarWinds, el software con puerta trasera se implementó en los sistemas de los clientes, incluidas numerosas agencias gubernamentales de EE. UU. Luego, el atacante pudo espiar silenciosamente varias actividades en estos clientes. 

Una de las técnicas del atacante fue falsificar tokens para la autenticación de modo que el sistema de dominio pensara que estaba obteniendo credenciales de usuario legítimas cuando, de hecho, las credenciales eran falsas. El Lenguaje de marcado de aserción de seguridad ( SAML ) se usa regularmente para transferir credenciales de forma segura entre sistemas. Y aunque este proceso de inicio de sesión único puede proporcionar seguridad adicional a las aplicaciones, como se muestra aquí, puede permitir que los atacantes obtengan acceso a un sistema. El proceso de ataque, denominado vector de ataque Golden SAML ", "implica que los atacantes obtengan primero acceso administrativo a los servicios de federación de Active Directory de una organización ( ADFS) servidor y robar la clave privada necesaria y el certificado de firma ". Eso permitió el acceso continuo a esta credencial hasta que la clave privada de ADFS fuera invalidada y reemplazada.

Microsoft investigó más y descubrió que, si bien los atacantes no podían inyectarse en la infraestructura ADFS / SAML de Microsoft, “se había utilizado una cuenta para ver el código fuente en varios repositorios de código fuente. La cuenta no tenía permisos para modificar ningún código o sistema de ingeniería y nuestra investigación confirmó además que no se realizaron cambios ". Esta no es la primera vez que el código fuente de Microsoft ha sido atacado o filtrado a la web. En 2004, 30.000 archivos de Windows NT a Windows 2000 se filtraron a la web a través de un tercero . Según los informes, Windows XP se filtró en línea  el año pasado.

Si bien sería imprudente afirmar con autoridad que el proceso de actualización de Microsoft nunca puede tener una puerta trasera, sigo confiando en el proceso de actualización de Microsoft en sí, incluso si no confío en los parches de la compañía en el momento en que salen. El proceso de actualización de Microsoft depende de los certificados de firma de código que deben coincidir o el sistema no instalará la actualización. Incluso cuando usa el proceso de parche distribuido en Windows 10 llamado Optimización de entrega, el sistema obtendrá fragmentos de un parche de otras computadoras en su red, o incluso de otras computadoras fuera de su red, y volverá a compilar todo el parche haciendo coincidir las firmas. Este proceso garantiza que pueda obtener actualizaciones desde cualquier lugar, no necesariamente de Microsoft, y su computadora verificará que el parche sea válido. 

Ha habido ocasiones en las que este proceso ha sido interceptado. En 2012, el malware Flame utilizó un certificado de firma de código robado para que pareciera que procedía de Microsoft para engañar a los sistemas para que permitieran la instalación de códigos maliciosos. Pero Microsoft revocó ese certificado y aumentó la seguridad del proceso de firma de código para garantizar que el vector de ataque fuera cerrado.


  • Mejores prácticas para la investigación y el monitoreo multicloud

  • Aprovechamiento de HCI de alto rendimiento para optimizar los datos

  • Los Angeles Dodgers + HyperFlex: Toma de decisiones en tiempo real, dentro y fuera del campo

La política de Microsoft es asumir que su código fuente y su red ya están comprometidos y, por lo tanto, tiene una filosofía de "supuesto incumplimiento". Entonces, cuando recibimos actualizaciones de seguridad, no solo recibimos correcciones de lo que sabemos; A menudo veo vagas referencias a características de seguridad y refuerzo adicionales que ayudan a los usuarios a seguir adelante. Tomemos, por ejemplo, KB4592438 . Lanzado para 20H2 en diciembre, incluía una vaga referencia a actualizaciones para mejorar la seguridad cuando se utilizan productos Microsoft Edge Legacy y Microsoft Office. Si bien la mayoría de las actualizaciones de seguridad de cada mes corrigen específicamente una vulnerabilidad declarada, también hay partes que, en cambio, dificultan que los atacantes utilicen técnicas conocidas para fines nefastos. 

Las versiones de funciones a menudo refuerzan la seguridad del sistema operativo, aunque algunas de las protecciones exigen una licencia Enterprise Microsoft 365 llamada licencia "E5". Pero aún puede utilizar técnicas de protección avanzadas pero con claves de registro manuales o editando la configuración de la política de grupo. Un ejemplo de ello es un grupo de configuraciones de seguridad diseñadas para reducir la superficie de ataque; utiliza varias configuraciones para evitar que se produzcan acciones maliciosas en su sistema. 

Pero (y este es un gran pero), establecer estas reglas significa que debe ser un usuario avanzado. Microsoft considera que estas características son más para empresas y negocios y, por lo tanto, no expone la configuración en una interfaz fácil de usar. Si es un usuario avanzado y desea consultar estas reglas de reducción de la superficie de ataque, mi recomendación es utilizar la herramienta de interfaz gráfica de usuario de PowerShell llamada ASR Rules PoSH GUI para establecer las reglas. Primero establezca las reglas para "auditar" en lugar de habilitarlas para que pueda revisar primero el impacto en su sistema. 

Puede descargar la GUI desde el sitio de github y verá estas reglas enumeradas. (Tenga en cuenta que debe Ejecutar como administrador: haga clic con el botón derecho del mouse en el archivo .exe descargado y haga clic en Ejecutar como administrador). No es una mala manera de fortalecer su sistema mientras continúan desarrollándose las consecuencias del ataque SolarWinds.

Publicar un comentario

0 Comentarios