El 14 de abril, el grupo de hackers Shadow Brokers filtró varias herramientas de hacking y exploits dirigidas a sistemas y servidores que ejecutan Microsoft Windows. Varias de ellas eran herramientas de las que se informó que estaban dirigidas a organizaciones financieras de todo el mundo. El grupo de hacking inicialmente puso estos “tesoros” de malware robado a la venta el año pasado, pero tras su fracaso, lo ha ideo liberado paulatinamente desde entonces.
El último lanzamiento de malware lanzado por Shadow Brokers permite a los atacantes romper sistemas (incluyendo Linux), redes y firewalls.
¿Qué sistemas y plataformas están afectados?
Los análisis iniciales (y en curso) de Trend Micro encontraron más de 35 troyanos que robaban información incluidos en esta última fuga. El volcado incluía exploits dirigidos a varios sistemas y vulnerabilidades del servidor, junto con Fuzzbunch, un marco de trabajo de hacking orientado a la red (similar a la herramienta de detección de penetración Metasploit) que ejecuta los exploits.
Estas son algunas de las vulnerabilidades explotadas por las herramientas de hacking:
- CVE-2008-4250 (exploit que es denominado “EclipsedWing”, parcheado en octubre de 2008 vía MS08-67)
- CVE-2009-2526, CVE-2009-2532, y CVE-2009-3103 (“EducatedScholar”, parcheado en octubre de 2009 vía MS09–050)
- CVE-2010-2729 (“EmeraldThread”, parcheado en septiembre de 2010 vía MS10-061)
- CVE-2014-6324 (“EskimoRoll”, parcheado en noviembre de 2014 vía MS14-068)
- CVE-2017-7269 (un fallo de seguridad en Microsoft Internet Information Services 6.0)
- CVE-2017-0146 y CVE-2017-0147 (“EternalChampion”, parcheado en marzo de 2017 vía MS17-010)
Otros exploits abordados por Microsoft fueron «ErraticGopher», arreglado antes del lanzamiento de Windows Vista, así como «EternalRomance» y «EternalSynergy». Los dos últimos exploits aprovechan fallos de seguridad en Windows SMB server, y fueron parcheados en marzo de 2017 a través de MS17-010.
Algunas de las herramientas de hacking encadenan varios fallos de seguridad para ejecutar el exploit. Muchos de estos exploits son relativamente antiguos, y algunos datan de 2008, para los que parches y correcciones han estado disponibles durante mucho tiempo. El equipo del Centro de Respuesta de Seguridad de Microsoft (MSRC) emitió rápidamente una advertencia de seguridad detallando los parches/correcciones que son blanco de los exploits confirmados en la última descarga de Shadow Brokers.
Las detecciones de Trend Micro de exploits/troyanos relacionados con la fuga de Shadow Brokers son:
- TROJ_EASYBEE.A
- TROJ_EDUSCHO.A
- TROJ_EFRENZY.A
- TROJ_EQUATED.G (diversas variantes)
- TROJ_ETERNALROM.A
- TROJ_EXCAN.A
- TROJ_STUXNET.LEY
- TROJ64_EQUATED.E
En base a los análisis en curso de Trend Micro, las plataformas afectadas incluyen servidores de email privados y clientes de correo electrónico basados en la web, así como software de colaboración de negocio. Los sistemas y servidores Windows 2000, XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 se ven afectados por exploits que aprovechan los protocolos de Internet y de red. Algunos de estos incluyen: Protocolo de Acceso a Mensajes de Internet (IMAP), autenticación de red (Kerberos), Protocolo de Desktop Remoto (RDP) y servicio de Llamada de Procedimiento Remoto (RPC).
¿Qué significa para las empresas?
El parche desempeña un papel vital en la lucha contra estas amenazas. Muchos de estos exploits de la última descarga de Shadow Broker se aprovechan de vulnerabilidades que las empresas pueden evitar razonablemente, dada la disponibilidad de sus soluciones/parches.
A la inversa, siguen siendo amenazas creíbles para muchas organizaciones, en particular aquellas que ejecutan sistemas y servidores en Windows 8 (versiones 8 y 8.1), XP, Vista, 2000 y Windows Server 2008. Para las empresas que utilizan Windows Server 2003, el riesgo es extremo, puesto que Microsoft ya concluyó el soporte para el sistema operativo hace dos años.
Las herramientas de hacking también se dirigen a vulnerabilidades en aplicaciones basadas en correo electrónico junto con plataformas de software relacionadas con negocios, particularmente aquellas que gestionan funciones de colaboración en el lugar de trabajo. Los sistemas operativos de Windows Server son también parte integral de la infraestructura de red, datos y aplicaciones de muchas empresas en todas las industrias de todo el mundo.
Las noticias iniciales indican que los exploits y las herramientas de hacking filtradas se dirigieron principalmente a bancos internacionales. Sin embargo, cualquier agente de amenaza que pueda conseguir que estos malware caigan en sus manos puede modificarlos con fines particulares contra sus objetivos de interés, incluso incluyendo plataformas más nuevas y sistemas operativos.
¿Qué se puede hacer?
Shadow Brokers es solo uno de los muchos grupos cuyo arsenal de amenazas puede poner en riesgo a los negocios provocando un daño significativo en la reputación y la interrupción de las operaciones y afectar a su balance final. Al no haber ninguna solución “mágica” para estas amenazas, es clave contar con un enfoque multicapa para mitigarlas.
Los administradores de TI/sistemas pueden desplegar cortafuegos, así como sistemas de prevención y detección de intrusiones que pueden inspeccionar y validar el tráfico entrante y saliente del perímetro de la empresa, al tiempo que evitan que el tráfico sospechoso o malicioso entre en la red. Los profesionales de la tecnología de la información y la seguridad también pueden considerar la posibilidad de asegurar las conexiones remotas de su organización al requerir que los usuarios empleen redes privadas virtuales cuando accedan remotamente a datos y activos corporativos. La desactivación de protocolos y componentes innecesarios u obsoletos (o aplicaciones que los utilizan), como SMB1, a menos que se necesite lo contrario, también puede reducir la superficie de ataque de la compañía. Promover la concienciación de las plantillas en materia de ciberseguridad también ayuda a mitigar la exposición de la compañía a amenazas similares, especialmente cuando se trata de ataques de ingeniería social.
La incorporación y configuración de capas adicionales de seguridad para las conexiones remotas también puede ayudar, desde la autenticación a nivel de red, a la restricción de privilegios de usuario y políticas de bloqueo de cuenta, y el uso de pasarelas RDP, para encriptar conexiones de escritorio remoto.
Las herramientas de hacking y exploits se basan en fallos de seguridad para romper los sistemas y servidores. Las organizaciones pueden evitar ataques que utilicen estos exploits manteniendo actualizado el OS y el software instalado en ellas, empleando parches virtuales e implementando una política robusta de administración de parches para la organización. Las empresas también pueden considerar la migración de su infraestructura a las versiones más nuevas y soportadas por sistemas operativos para mitigar los riesgos del fin de la vigencia del software.
Soluciones de Trend Micro:
Trend Micro™ Deep Security™ y Vulnerability Protection ofrecen parches virtuales que protegen los endpoints de las amenazas que abusan de las vulnerabilidades sin parches. Las protecciones contra vulnerabilidades de OfficeScan protegen los endpoints de exploits de vulnerabilidades identificadas y desconocidas incluso antes de que los parches sean desplegados. Trend Micro™ Deep Discovery™ proporciona detección, análisis en profundidad y respuesta proactiva ante ataques utilizando exploits a través de motores especializados, sandboxing personalizado y correlación perfecta y sin fisuras durante todo el ciclo de vida del ataque, permitiéndole detectar amenazas similares incluso sin ninguna actualización de motor o patrón