Guía de día cero para 2020: Ataques recientes y técnicas preventivas avanzadas
Ilai Bavati 
Las vulnerabilidades de día cero permiten a los agentes de amenazas aprovechar los puntos ciegos de seguridad. Por lo general, un ataque de día cero implica la identificación de vulnerabilidades de día cero, la creación de exploits relevantes, la identificación de sistemas vulnerables y la planificación del ataque. Los siguientes pasos son la infiltración y el lanzamiento.
Este artículo examina tres ataques de día cero recientes dirigidos a Microsoft, Internet Explorer y Sophos. Finalmente, aprenderá sobre cuatro soluciones de protección y prevención de día cero: NGAV, EDR, IPsec y controles de acceso a la red.
¿Qué es una vulnerabilidad de día cero?
Las vulnerabilidades de día cero son amenazas críticas que aún no se divulgan públicamente o que solo se descubren como resultado de un ataque. Por definición, los proveedores y los usuarios aún no conocen la vulnerabilidad. El término día cero se deriva del momento en que se descubre la amenaza (día cero). A partir de este día, se produce una carrera entre los equipos de seguridad y los atacantes para, respectivamente, parchear o explotar la amenaza primero.
Anatomía de un ataque de día cero
Un ataque de día cero se produce cuando los delincuentes explotan una vulnerabilidad de día cero. La cronología de un ataque de día cero a menudo incluye los siguientes pasos.
- Identificación de vulnerabilidades: Los delincuentes prueban el código fuente abierto y las aplicaciones propietarias para detectar vulnerabilidades que aún no se han reportado. Los atacantes también pueden recurrir a los mercados negros para comprar información sobre vulnerabilidades que aún no son públicas.
- Creación de exploits: Los atacantes crean un kit, script o proceso que les permite explotar la vulnerabilidad descubierta.
- Identificación de sistemas vulnerables: Una vez que un exploit está disponible, los atacantes comienzan a buscar sistemas afectados. Esto puede implicar el uso de escáneres automatizados, bots o sondeo manual.
- planear el ataque: El tipo de ataque que un criminal quiere lograr determina este paso. Si se apunta a un ataque, los atacantes generalmente realizan reconocimiento para reducir sus probabilidades de ser capturados y aumentar las probabilidades de éxito. En el caso de los ataques generales, es más probable que los delincuentes utilicen campañas de phishing o bots para intentar atacar el mayor número de objetivos lo antes posible.Infiltración y lanzamiento
- : Si una vulnerabilidad requiere infiltrarse primero en un sistema, los atacantes trabajan para hacerlo antes de implementar el exploit. Sin embargo, si se puede explotar una vulnerabilidad para obtener entrada, el exploit se aplica directamente.
Ejemplos recientes de ataques
Prevenir eficazmente los ataques de día cero es un desafío importante para cualquier equipo de seguridad. Estos ataques se producen sin previo aviso y pueden eludir muchos sistemas de seguridad. En particular los que se basan en métodos basados en firmas. Para ayudar a mejorar su seguridad y disminuir su riesgo, puede comenzar aprendiendo sobre los tipos de ataques que se han producido recientemente.
Microsoft
En marzo de 2020, Microsoft advirtió a los usuarios de ataques de día cero que explotaban dos vulnerabilidades separadas. Estas vulnerabilidades afectaron a todas las versiones de Windows compatibles y no se esperaba ningún parche hasta semanas después. Actualmente no hay un identificador CVE para esta vulnerabilidad.
Los ataques se dirigieron a vulnerabilidades de ejecución de código remoto (RCE) en la biblioteca de Adobe Type Manager (ATM). Esta biblioteca está integrada en Windows para administrar fuentes PostScript Tipo 1. Las fallas en los cajeros automáticos permitieron a los atacantes usar documentos maliciosos para ejecutar scripts de forma remota. Los documentos llegaron a través de spam o fueron descargados por usuarios desprevenidos. Cuando se abren, o se previsualizan con el Explorador de archivos de Windows, los scripts se ejecutan, infectando los dispositivos de los usuarios.
Internet Explorer
Internet Explorer (IE), el navegador heredado de Microsoft, es otra fuente reciente de ataques de día cero. Esta vulnerabilidad (CVE-2020-0674) se produce debido a un defecto en la forma en que el motor de scripting IE administra los objetos en memoria. Afectó a IE v9-11.
Los atacantes pueden aprovechar esta vulnerabilidad engañando a los usuarios para que visiten un sitio web diseñado para explotar el defecto. Esto se puede lograr a través de correos electrónicos de phishing o a través de la redirección de enlaces y solicitudes de servidor.
Sophos
En abril de 2020, se notificaron ataques de día cero contra el firewall XG de Sophos. Estos ataques intentaron explotar una vulnerabilidad de inyección SQL (CVE-2020-12271) dirigida al servidor de base de datos PostgreSQL integrado del firewall.
Si se explota correctamente, esta vulnerabilidad permitiría a los atacantes inyectar código en la base de datos. Este código podría utilizarse para modificar la configuración del cortafuegos, conceder acceso a los sistemas o permitir la instalación de malware.
Protección y prevención
Para defenderse adecuadamente contra los ataques de día cero, debe superponer protecciones avanzadas a sus herramientas y estrategias existentes. A continuación se presentan algunas soluciones y prácticas diseñadas para ayudarlo a detectar y prevenir amenazas desconocidas.
Antivirus de próxima generación
El antivirus de próxima generación (NGAV) amplía el antivirus tradicional. Para ello, incluye funciones de aprendizaje automático, detección de comportamiento y mitigación de vulnerabilidades. Estas características permiten a NGAV detectar malware incluso cuando no hay una firma conocida o un hash de archivo (en el que se basa el AV tradicional).
Además, estas soluciones a menudo se basan en la nube, lo que le permite implementar herramientas de forma aislada y a escala. Esto ayuda a garantizar que todos sus dispositivos estén protegidos y que las protecciones permanezcan activas incluso si los dispositivos se ven afectados.
Detección y respuesta de endpoints
Las soluciones de detección y respuesta de endpoints (EDR) proporcionan visibilidad, supervisión y protecciones automatizadas a sus endpoints. Estas soluciones supervisan todo el tráfico de endpoints y pueden usar inteligencia artificial para clasificar comportamientos sospechosos de endpoints, como, por ejemplo, solicitudes frecuentes o conexiones desde direcciones IP extranjeras. Estas capacidades le permiten bloquear amenazas independientemente del método de ataque.
Además, las funciones de EDR se pueden usar para rastrear y monitorear usuarios o archivos. Mientras el aspecto rastreado se comporte dentro de las pautas normales, no se realiza ninguna acción. Sin embargo, tan pronto como el comportamiento se desvíe, se puede alertar a los equipos de seguridad.
Estas capacidades no requieren conocimiento de amenazas específicas. En cambio, las capacidades aprovechan la inteligencia de amenazas para hacer comparaciones generalizadas. Esto hace que EDR sea eficaz contra los ataques de día cero.
Seguridad IP
La seguridad IP (IPsec) es un conjunto de protocolos estándar utilizados por los grupos de tareas de ingeniería de Internet (IETFs). Permite a los equipos aplicar medidas de autenticación de datos y verificar la integridad y confidencialidad entre los puntos de conexión. También permite el cifrado y la gestión e intercambio seguros de claves.
Puede usar IPsec para autenticar y cifrar todo el tráfico de red. Esto le permite proteger las conexiones e identificar y responder rápidamente a cualquier tráfico que no sea de red o sospechoso. Estas habilidades te permiten aumentar la dificultad de explotar vulnerabilidades de día cero y disminuir la probabilidad de que los ataques tengan éxito.
Implementar controles de acceso a la red
Los controles de acceso a la red le permiten segmentar sus redes de forma muy detallada. Esto le permite definir exactamente qué usuarios y dispositivos pueden acceder a sus activos y a través de qué medios. Esto incluye restringir el acceso solo a esos dispositivos y usuarios con los parches o herramientas de seguridad adecuados.
Los controles de acceso a la red pueden ayudarlo a garantizar que sus sistemas estén protegidos sin interferir con la productividad ni forzar la restricción completa del acceso externo. Por ejemplo, el tipo de acceso necesario cuando aloja software como servicio (SaaS).
Estos controles son beneficiosos para la protección contra amenazas de día cero, ya que le permiten evitar el movimiento lateral en sus redes. Esto aísla eficazmente cualquier daño que pueda causar una amenaza de día cero.
Mantenerse seguro
Los ataques recientes de día cero muestran que cada vez más actores de amenazas encuentran una marca fácil en los usuarios de endpoints. El ataque de día cero a Microsoft aprovechó las vulnerabilidades de los cajeros automáticos para engañar a los usuarios para que abrieran malware. Cuando los agentes de amenazas explotaban una vulnerabilidad de día cero de Internet Explore, engañaban a los usuarios para que visitaran sitios maliciosos. El ataque de día cero a Sophos podría permitir el acceso de los usuarios a los actores de las amenazas.
Sin embargo, aunque los ataques de día cero son difíciles de predecir, es posible prevenir y bloquear estos ataques. EDR security permite a las organizaciones ampliar la visibilidad de los puntos de conexión, y los antivirus de última generación ofrecen protección contra el malware sin tener que depender de firmas conocidas. Los protocolos IPsec permiten a la organización autenticar y cifrar el tráfico de red, y los controles de acceso a la red proporcionan las herramientas para denegar el acceso a actores maliciosos. No dejes que los actores de la amenaza tengan la ventaja. Al utilizar y superponer varias de estas herramientas y enfoques, puede proteger mejor a sus empleados, sus datos y su organización.
Leave a Reply