¿Está tu empresa en peligro?

Shadow Brokers filtra herramientas de hacking: ¿qué significa esto para las empresas?

Publicado el 04 May 2017

Hacker typing on a laptop with binary code in background

El grupo de hackers Shadow Brokers filtró varias herramientas de hacking y exploits dirigidas a sistemas y servidores que ejecutan Microsoft Windows. Varias de ellas eran herramientas delas quese informó que estaban dirigidas a organizaciones financieras de todo el mundo. El grupo de hacking inicialmente puso estos “tesoros” de malware robado a la venta el año pasado, pero tras su fracaso, lo ha ido liberando paulatinamente desde entonces.

El último lanzamiento de malware lanzado por Shadow Brokers permite a los atacantes romper sistemas (incluyendo Linux), redes y firewalls.

¿Qué sistemas y plataformas están afectados?

Los análisis iniciales (y en curso) de Trend Micro encontraron más de 35 troyanos que robaban información incluidos en esta última fuga. El volcado incluía exploits dirigidos a varios sistemas y vulnerabilidades del servidor, junto con Fuzzbunch, un marco de trabajo de hacking orientado a la red (similar a la herramienta de detección de penetración Metasploit) que ejecuta los exploits.
Algunas de las herramientas de hacking encadenan varios fallos de seguridad para ejecutar el exploit. Muchos de estos exploits son relativamente antiguos, y algunos datan de 2008, para los que parches y correcciones han estado disponibles durante mucho tiempo. El equipo del Centro de Respuesta de Seguridad de Microsoft (MSRC) emitió rápidamente una advertencia de seguridad detallando los parches/correcciones que son blanco de los exploits confirmados en la última descarga de Shadow Brokers.

En base a los análisis en curso de Trend Micro, las plataformas afectadas incluyen servidores de email privados y clientes de correo electrónico basados en la web, así como software de colaboración de negocio. Los sistemas y servidores Windows 2000, XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 se ven afectados por exploits que aprovechan los protocolos de Internet y de red. Algunos de estos incluyen: Protocolo de Acceso a Mensajes de Internet (IMAP), autenticación de red (Kerberos), Protocolo de Desktop Remoto (RDP) y servicio de Llamada de Procedimiento Remoto (RPC).

¿Qué significa para las empresas?

El parche desempeña un papel vital en la lucha contra estas amenazas. Muchos de estos exploits de la última descarga de Shadow Broker se aprovechan de vulnerabilidades que las empresas pueden evitar razonablemente, dada la disponibilidad de sus soluciones/parches.

A la inversa, siguen siendo amenazas creíbles para muchas organizaciones, en particular aquellas que ejecutan sistemas y servidores en Windows 8 (versiones 8 y 8.1), XP, Vista, 2000 y Windows Server 2008. Para las empresas que utilizan Windows Server 2003, el riesgo es extremo, puesto que Microsoft ya concluyó el soporte para el sistema operativo hace dos años.

Las herramientas de hacking también se dirigen a vulnerabilidades en aplicaciones basadas en correo electrónico junto con plataformas de software relacionadas con negocios, particularmente aquellas que gestionan funciones de colaboración en el lugar de trabajo. Los sistemas operativos de Windows Server son también parte integral de la infraestructura de red, datos y aplicaciones de muchas empresas en todas las industrias de todo el mundo.

Las noticias iniciales indican que los exploits y las herramientas de hacking filtradas se dirigieron principalmente a bancos internacionales. Sin embargo, cualquier agente de amenaza que pueda conseguir que estos malware caigan en sus manos puede modificarlos con fines particulares contra sus objetivos de interés, incluso incluyendo plataformas más nuevas y sistemas operativos.

¿Qué se puede hacer?

Los administradores de TI/sistemas pueden desplegar cortafuegos, así como sistemas de prevención y detección de intrusiones que pueden inspeccionar y validar el tráfico entrante y saliente del perímetro de la empresa, al tiempo que evitan que el tráfico sospechoso o malicioso entre en la red. Los profesionales de la tecnología de la información y la seguridad también pueden considerar la posibilidad de asegurar las conexiones remotas de su organización al requerir que los usuarios empleen redes privadas virtuales cuando accedan remotamente a datos y activos corporativos. La desactivación de protocolos y componentes innecesarios u obsoletos (o aplicaciones que los utilizan), como SMB1, a menos que se necesite lo contrario, también puede reducir la superficie de ataque de la compañía. Promover la concienciación de las plantillas en materia de ciberseguridad también ayuda a mitigar la exposición de la compañía a amenazas similares, especialmente cuando se trata de ataques de ingeniería social.

La incorporación y configuración de capas adicionales de seguridad para las conexiones remotas también puede ayudar, desde la autenticación a nivel de red, a la restricción de privilegios de usuario y políticas de bloqueo de cuenta, y el uso de pasarelas RDP, para encriptar conexiones de escritorio remoto.

Las herramientas de hacking y exploits se basan en fallos de seguridad para romper los sistemas y servidores. Las organizaciones pueden evitar ataques que utilicen estos exploits manteniendo actualizado el OS y el software instalado en ellas, empleando parches virtuales e implementando una política robusta de administración de parches para la organización. Las empresas también pueden considerar la migración de su infraestructura a las versiones más nuevas y soportadas por sistemas operativos para mitigar los riesgos del fin de la vigencia del software.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

C
Redacción Computing

Artículos relacionados

Artículo 1 de 3