jueves, 23 de noviembre de 2023

Cómo el Webshell sigiloso hrserver.dll puede imitar el tráfico de Google para ocultar y comprometer las redes

En una sorprendente revelación que sacude el mundo de la ciberseguridad, los investigadores han desenterrado un sofisticado web shell, denominado ‘HrServ’, escondido dentro de un archivo DLL aparentemente inofensivo, ‘hrserv.dll’. Este descubrimiento, que surge de investigaciones rutinarias de ciberseguridad, revela una nueva profundidad en la sofisticación de los ciberataques, desafiando los mecanismos de defensa existentes.

La alarmante aparición de web shells en la guerra cibernética

Los web shells, un término relativamente oscuro fuera de los círculos de ciberseguridad, representan una amenaza formidable en la era digital. Son scripts o programas maliciosos que los piratas informáticos implementan en servidores web comprometidos, permitiendo el acceso y control remotos. El descubrimiento de HrServ marca una escalada significativa en esta carrera armamentista digital. Normalmente, los web shells son de naturaleza rudimentaria, pero HrServ rompe este molde con sus capacidades avanzadas y operaciones sigilosas, estableciendo un nuevo punto de referencia para las amenazas cibernéticas.

Tropezar con ‘HrServ’

El viaje para descubrir HrServ comenzó con el análisis rutinario de archivos sospechosos. Los investigadores tropezaron con ‘hrserv.dll’, que inicialmente no parecía desviarse de la norma. Sin embargo, una inspección más cercana reveló su verdadera naturaleza. El web shell exhibió características sin precedentes, incluidos métodos de codificación personalizados para las comunicaciones del cliente y la capacidad de ejecutar comandos directamente en la memoria del sistema, una táctica que complica significativamente la detección.

Decodificando la sofisticada mecánica de HrServ

La cadena de infección de HrServ comienza con la creación de una tarea programada llamada ‘MicrosoftsUpdate’, que luego ejecuta un archivo por lotes. Este archivo luego facilita la copia de ‘hrserv.dll’ en el directorio crucial System32, incrustando efectivamente el malware en lo más profundo del sistema. A partir de aquí, HrServ cobra vida, iniciando un servidor HTTP y gestionando la comunicación cliente-servidor con una codificación personalizada intrincada, que involucra algoritmos hash Base64 y FNV1A64.

La ingeniosa técnica de parámetros GET

Uno de los aspectos más llamativos de HrServ es la utilización de una técnica de parámetro GET en sus solicitudes HTTP, específicamente el parámetro ‘cp’. La técnica de parámetros GET utilizada en el ataque de shell web HrServ implica el uso de parámetros específicos en la URL de una solicitud HTTP GET para activar varias funciones dentro del malware. En este caso, el parámetro denominado “cp” juega un papel fundamental. Diferentes valores de este parámetro “cp” hacen que el shell web ejecute diferentes acciones. Por ejemplo:

  • GET con cp=0: Llama VirtualAlloc, copia un valor de cookie NID decodificado personalizado y crea un nuevo hilo.
  • POST con cp=1: crea un archivo y escribe en él los datos POST decodificados personalizados.
  • GET con cp=2: lee un archivo utilizando el valor de cookie NID decodificado personalizado y lo devuelve en la respuesta.
  • GET con cp=4 y 7: devuelve datos HTML de Outlook Web App.
  • POST con cp=6: Indica un proceso de ejecución de código, copiando datos POST decodificados a la memoria y creando un nuevo hilo.

Esta técnica permite que el malware realice diversas acciones en función de la solicitud HTTP que recibe, lo que la convierte en una herramienta versátil y peligrosa para los atacantes. El uso de parámetros comunes como los que se encuentran en los servicios de Google también podría ayudar a enmascarar el tráfico malicioso, combinándolo con el tráfico web legítimo y dificultando la detección.

Imitando los patrones de tráfico web de Google

En un movimiento astuto para evadir la detección, el patrón de comunicación de HrServ está modelado para imitar los servicios web de Google. Este parecido no es accidental sino un intento deliberado de combinar tráfico malicioso con servicios web legítimos, convirtiéndolo en una aguja en un pajar digital para los sistemas de monitoreo de redes.

La entidad gubernamental afgana: una única víctima con implicaciones globales

Sorprendentemente, la única víctima conocida de HrServ, según los datos disponibles, fue una entidad gubernamental en Afganistán. Este enfoque dirigido insinúa la posibilidad de ciberespionaje patrocinado por el Estado, aunque la atribución sigue sin estar clara. Las implicaciones de un ataque tan sofisticado se extienden mucho más allá de una sola entidad y representan un crudo recordatorio de las vulnerabilidades inherentes a las infraestructuras digitales en todo el mundo.

Desentrañando el misterio: ¿Quién está detrás de HrServ?

Los orígenes y afiliaciones de los creadores de HrServ siguen siendo un misterio. Sin embargo, ciertas pistas apuntan hacia un grupo de habla no nativa inglesa, deducidas de los patrones de lenguaje y las complejidades técnicas observadas en el malware. Además, el uso de parámetros específicos similares a los de los servicios de Google sugiere un alto nivel de sofisticación y comprensión de los patrones globales de tráfico web.

Mirando hacia el futuro: un desafío de ciberseguridad para el futuro

El descubrimiento de HrServ representa un momento decisivo en la batalla en curso entre ciberdelincuentes y defensores. Su diseño sofisticado, sus técnicas evasivas y su aplicación dirigida marcan una nueva era en las ciberamenazas, una en la que los mecanismos de defensa tradicionales pueden ya no ser suficientes. A medida que los expertos en ciberseguridad continúan analizando y entendiendo HrServ, el mundo digital se prepara para los desafíos futuros, enfatizando la naturaleza en constante evolución de las amenazas cibernéticas y la necesidad perpetua de estrategias de defensa innovadoras.

El cargo Cómo el Webshell sigiloso hrserver.dll puede imitar el tráfico de Google para ocultar y comprometer las redes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 22 de noviembre de 2023

Compartir conexión de datos móviles aspectos importantes a considerar

En la actualidad, los dispositivos móviles modernos son más que un elemento que sirve para comunicarse fácilmente con otras personas, en vista de que estos se han construido con elementos adicionales que permiten estar conectados a internet, además de facilitar esta conexión con otros dispositivos.

¿Cómo compartir datos móviles? En la actualidad, este proceso se puede hacer en una variedad de circunstancias: cuando existan problemas de conexión o saldo, o simplemente sea necesario conectar otro dispositivo (como un portátil) a la red de datos.

Esto es lo que se conoce con el nombre de Tethering, el modo de compartir datos móviles con otros dispositivos.

Y no, el Tethering no es complicado de hacer, pero muchas personas pueden tener algunas complicaciones estableciendo este tipo de conexión, y es por eso que con este material se espera que los usuarios de dispositivos móviles, puedan resolver sus dudas.

En cualquiera de los casos, teniendo Android o iPhone, este artículo de blog ayudará a establecer la conexión con los datos móviles de una forma fácil y rápida; y no solamente a través de vías inalámbricas.

¿Cómo compartir la conexión de datos desde un celular Android?

Para comenzar esta guía, se indica cómo compartir datos móviles a los usuarios a quienes les gusta el sistema operativo Android. 

Y es que, desde la versión 2.2 de Android (Froyo) hasta la más reciente, permite hacer Tethering y compartir los datos móviles con otros dispositivos que así lo requieran.

  1. Puntos de acceso Wi-Fi

El primer paso a paso que se describe sobre cómo compartir datos móviles con Android es haciendo un punto de acceso, también llamado Zona WiFi. Los pasos a seguir son los siguientes:

  • Ingresar a la configuración (o ajustes) del teléfono.
  • Buscar la opción denominada “Redes e Internet”.
  • Una vez dentro, tocar la opción que dice “Zona Wi-Fi”, Compartir conexión, o inclusive Hotspot. Las versiones de Android pueden cambiar el nombre de esta función. 
  • Si no se encuentra el nombre, es posible hacer una búsqueda en el mismo buscador de funciones (o de ajustes) de la parte superior del menú.
  • Tocar la opción “Punto de acceso Wi-Fi” para activar la función. 

Para compartir, tan solo se necesitará elegir el punto de acceso, que se podrá modificar colocando el nombre del mismo y la contraseña. En algunos dispositivos se puede configurar para que no tenga ninguna contraseña. 

Una vez activada y debidamente configurada, hay que encender la conexión Wi-Fi en el dispositivo que quiere conectar al punto de acceso y elegir el nombre de la conexión del punto de acceso, colocando la clave (si lo ha elegido).

En algunos móviles se puede acceder por medio del botón que se ubica en el acceso rápido. Con tan solo activar este botón, ya los demás dispositivos podrán ver el punto de acceso.

  1. Compartir conexión por Bluetooth

Aunque un poco en desuso, si se requiere otra alternativa para compartir los datos móviles entre dispositivos, por medio del bluetooth también se puede hacer. 

Es un proceso mucho más sencillo, pues no necesita de claves o nombres sino solamente que los dispositivos se vinculen. 

Para realizar este procedimiento, hay que seguir los pasos descritos a continuación:

  • Ingresar al menú de “Ajustes” o “Configuración”. 
  • Igual que en el proceso anterior, hay que acceder a la opción denominada “Redes e Internet”.
  • Elegir la opción “Zona Wi-Fi”, “Compartir conexión” o como tienda a llamarse en el dispositivo Android.
  • Seleccionar la opción “Anclaje a Bluetooth”.

Es importante recordar que estos procesos mencionados consumen batería. Por tanto, al cargar el dispositivo, se recomienda desconectar temporalmente la conexión compartida.

  1. Compartir conexión por USB

Este punto es el más sencillo, porque la conexión se dará de forma alámbrica, con el cable USB del móvil, que será conectado al puerto USB del portátil u otro dispositivo móvil.

Compartir la conexión por USB se recomienda cuando el dispositivo que debe recibir internet no tiene posibilidad de conectarse por Wi-Fi o Bluetooth. 

Bastará simplemente con seguir los pasos del punto anterior, pero esta vez se tendrá que seleccionar la opción “Anclaje de USB” o “Compartir conexión por USB”, o el nombre que reciba, dependiendo de la versión de Android del dispositivo.

¿Cómo Compartir la Conexión de Datos desde Un Celular iPhone?

Sin embargo, no todas las personas son fanáticas de Android como dispositivo preferido. Así que este tema de cómo compartir datos móviles no podía dejar de lado los móviles de la manzana americana Apple. 

En este apartado, se revisarán las diferentes formas que existen para compartir los datos móviles, pero con un dispositivo con iOS, ya sea un iPhone, un iPad, entre otros. 

Los pasos no son tan diferentes de los que tiene un equipo Android, pero para no generar confusión, se explicarán de forma específica.

  1. Para conectar por Wi-Fi

Esta es la opción más usada para conectar un equipo móvil con iOS a otro equipo sin datos móviles. Para algunos usuarios suele ser mucho más sencillo configurar esta opción que en Android, y los pasos para hacer este proceso son los siguientes:

  • Buscar la opción de “Ajustes” del dispositivo móvil. 
  • Una vez dentro de los ajustes, seleccionar “Punto de acceso personal”.
  • Activar la opción que dice “permitir a otros conectarse”. Con esto, ya los demás dispositivos podrán ver el punto de acceso. 
  • En el dispositivo a conectar, será necesario seleccionar el punto de acceso, además colocar la contraseña (si es solicitada). 

Hay que recordar que el dispositivo iPhone no permite cambiar ni la red SSID ni el nivel de seguridad del dispositivo. Sólo se puede realizar el cambio de contraseña, para colocar la que cumpla con las necesidades del usuario.

¿Cómo se puede acceder a la contraseña de Wi-Fi en un iPhone?

Para acceder con mayor rapidez a las contraseñas de Wi-Fi en el iPhone, es recomendable utilizar la herramienta Dr.Fone.

Con Dr.Fone, se reúnen datos importantes en un solo lugar, pues es una app que sirve como gestor de contraseñas, especialmente para iOS, tanto del sistema operativo, así como de las apps y webs que se gestionen en el dispositivo. 

¿Cómo usar Dr.Fone para recuperar la contraseña del punto de acceso? Este proceso es muy sencillo:

  • Acceder a la herramienta denominada Administrador de Contraseñas. Se puede hacer desde el ordenador por medio de: Toolbox – Administrador de contraseñas.
  • Detectar el dispositivo con iDevice. Para ello, conectar el iPhone por USB al ordenador y hacer clic en “Iniciar Escaneo”. Con este escaneo, se están rastreando todas las contraseñas guardadas en el dispositivo.
  • Colocar la clave de seguridad del iDevice, hacer clic en aceptar y luego observar el progreso del escaneo, puede tomar un momento este proceso.
  • A medida que el escaneo está por concluir, se irá mostrando una lista de contraseñas. Se pueden seleccionar algunas en función del tipo de contraseña. 
  • Una vez terminado el proceso, se puede exportar las contraseñas a un archivo CSV.
  1. Para conectar por Bluetooth

Otra opción para conectar dispositivos para usar los datos móviles es la conectividad Bluetooth. Es un proceso más rápido que el de Wi-Fi.

Para hacerlo, basta con ingresar nuevamente a “Ajustes” y luego, en la opción de “Bluetooth”. Realizar el emparejamiento entre dispositivos y después activar la opción de “Punto de acceso personal” en la opción de Wi-Fi.

  1. Para conectar por USB

Para finalizar las conexiones a los datos móviles, es posible conectar el móvil por medio de USB a un portátil u ordenador y usarlo como módem. 

Realiza la conexión del móvil al dispositivo por medio del cable USB, y luego, en el dispositivo, sólo hay que seleccionar el móvil como módem. Esto se realiza en las opciones de red.

Consideraciones imprescindibles al compartir la conexión de datos móviles

Ahora que ya se ha expuesto cómo compartir datos móviles en Android e iOS, algunas recomendaciones para compartir esta conexión sin problemas o inconvenientes adicionales son las siguientes:

  • No hay que permitir que los dispositivos conectados realicen procesos de actualización, porque consumen gigas de datos y pueden dejar al móvil sin Internet.
  • El consumo de batería al tener activo este proceso es elevado. Por tanto, se recomienda con mayor énfasis la opción de conexión USB o usar esta forma de conexión muy concretamente. 
  • Utilizar el tipo de seguridad más elevado a la hora de hacer un punto de acceso compartido, es decir, seleccionar niveles como WPA2 (el más seguro) que cifra con mayor protección y potencia la conexión Wi-Fi compartida.
  • Para lograr un mejor desempeño, si la conectividad móvil no es muy eficiente, es recomendable usar punto de acceso con banda de 2.4 Ghz, para aprovechar al máximo los datos compartidos. Ahora, si existe una buena conectividad móvil, la banda de 5.0 Ghz es recomendada, para acelerar la velocidad y el desempeño de la red.

Conclusión

Esperamos que con estos puntos que se han expuesto, los interesados tengan éxito cuando se necesiten compartir los datos móviles. 

Hay que recordar, además, usar esta función de forma puntual y con precisión, pues provoca que los dispositivos móviles consuman más energía de la batería, así como de los datos móviles.

El cargo Compartir conexión de datos móviles aspectos importantes a considerar apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 21 de noviembre de 2023

El Desliz de 4 Mil Millones de Dólares de Binance ¿Cómo los ciberdelincuentes lavan dinero a través de Binance?

Los ciberdelincuentes han utilizado intercambios de criptomonedas como Binance para lavar dinero debido a la naturaleza seudónima de las monedas digitales. Aquí hay una descripción general de cómo podrían hacer esto:

  1. Obtención de criptomonedas a través de medios ilícitos : los ciberdelincuentes pueden adquirir criptomonedas como Bitcoin a través de actividades ilegales como piratería informática, ataques de ransomware, estafas en línea o transacciones en la web oscura.
  2. Creación de cuentas en intercambios : crean cuentas en intercambios de criptomonedas como Binance. Esto a menudo implica el uso de identidades falsas o robadas para evitar la detección, ya que los intercambios legítimos requieren verificación de identidad (Conozca a su cliente, KYC) para la creación de cuentas.
  3. Depositar los fondos ilícitos : la criptomoneda adquirida se deposita en sus cuentas en estos intercambios. Este paso es fundamental en el proceso de lavado, ya que traslada los fondos de una fuente directamente rastreable (como un pago de ransomware) a una red financiera más convencional.
  4. Superposición de transacciones : para ocultar el origen de los fondos, los delincuentes pueden participar en una serie de transacciones complejas. Esto implica convertir criptomonedas en otros activos digitales, comerciar con varios pares o mover fondos entre múltiples cuentas e intercambios. El objetivo es disociar los fondos ilícitos de su fuente original.
  5. Uso de Vasos/Mezcladores : En algunos casos se utilizan servicios conocidos como vasos o batidoras. Estos servicios mezclan fondos de criptomonedas potencialmente identificables o “contaminados” con otros, lo que dificulta el seguimiento hasta la fuente original.
  6. Retiro o gasto : finalmente, los fondos lavados se retiran como moneda fiduciaria a través del intercambio o se utilizan para comprar bienes y servicios directamente con criptomonedas, ingresando así a la economía legítima.

En un acontecimiento legal histórico, Binance, el mayor intercambio de criptomonedas del mundo, y su director ejecutivo, Changpeng Zhao, conocido popularmente como “CZ”, acordaron un acuerdo de 4.300 millones de dólares con las autoridades estadounidenses por cargos de lavado de dinero y otros delitos financieros. Este acuerdo marca una de las acciones más importantes contra un actor importante en la industria de las criptomonedas.

Antecedentes del caso: Fundada en 2017, Binance rápidamente saltó a la fama como un importante intercambio de criptomonedas. Sin embargo, su rápido crecimiento y sus operaciones globales llamaron la atención de los reguladores estadounidenses, lo que llevó a un intenso escrutinio sobre su cumplimiento de las regulaciones y sanciones contra el lavado de dinero (AML).

Participación de Changpeng Zhao: Changpeng Zhao, el carismático e influyente fundador de Binance, se encontró en el centro de estos desafíos legales. Ante acusaciones de no implementar deliberadamente un programa ALD eficaz y de violar sanciones económicas, Zhao compareció ante un tribunal federal de Seattle para presentar su declaración. En un giro significativo de los acontecimientos, se declaró culpable de los cargos y acordó pagar una multa de 50 millones de dólares a la Comisión de Comercio de Futuros de Productos Básicos (CFTC).

Detalles del acuerdo: El acuerdo de 4.300 millones de dólares, una cifra sin precedentes en la industria de la criptografía, incluye multas penales y decomisos por cantidades que superan los 2.500 millones de dólares. La admisión de Binance de participar en transmisiones de dinero sin licencia y violaciones de sanciones subraya la gravedad de los cargos. El acuerdo también implica acuerdos con la Red de Ejecución de Delitos Financieros (FinCEN) del Departamento del Tesoro, la Oficina de Control de Activos Extranjeros (OFAC) y la CFTC.

Zhao se declaró culpable de una serie de violaciones identificadas por el Departamento de Justicia y otras agencias estadounidenses. Apareció ante un tribunal federal de Seattle para presentar su declaración y anunció su renuncia como director ejecutivo de Binance. Richard Teng, ex director global de mercados regionales de Binance, lo sucedió como director ejecutivo.​. Binance admitió haber participado en actividades contra el lavado de dinero, transmisión de dinero sin licencia y violaciones de sanciones. El acuerdo con el DOJ y otras agencias, incluidas FinCEN, OFAC y la CFTC, ascendió a aproximadamente 4.300 millones de dólares. De esto, alrededor de $1.8 mil millones se acreditarán para resoluciones con estas agencias. Zhao acordó personalmente pagar una multa de 50 millones de dólares a la CFTC​.

Los cargos contra Binance y Zhao incluyeron no registrarse deliberadamente como una empresa de servicios monetarios y violar la Ley de Secreto Bancario al no implementar un programa contra el lavado de dinero. Esto fue visto como un esfuerzo deliberado para sacar provecho del mercado estadounidense sin adherirse a las leyes estadounidenses. La bolsa recaudó alrededor de 1.350 millones de dólares en comisiones comerciales de clientes estadounidenses. Las declaraciones del Fiscal General de los Estados Unidos, Merrick Garland, y de la Secretaria del Tesoro, Janet Yellen, enfatizaron la necesidad de que todas las instituciones, independientemente de su ubicación, cumplan con las leyes estadounidenses si desean beneficiarse del sistema financiero estadounidense.​.

Los desafíos de Binance no se limitaron a este caso. La compañía se ha enfrentado a otros problemas, como el colapso de FTX, un competidor, y la terminación de un importante acuerdo de adquisición por parte de Binance.US, su empresa hermana estadounidense, debido a preocupaciones regulatorias. Además, Binance enfrentó la ruptura de vínculos con Checkout.com por preocupaciones relacionadas con los controles de cumplimiento y contra el lavado de dinero.​.

Estos desarrollos reflejan el complejo y cambiante panorama regulatorio de la industria de las criptomonedas, destacando la necesidad de que los principales actores como Binance se adhieran estrictamente a los estándares legales y regulatorios, especialmente en jurisdicciones como Estados Unidos.

Cambios de liderazgo y cumplimiento futuro: tras la declaración de culpabilidad, Zhao renunció como director ejecutivo de Binance, una medida que señala una nueva era para el intercambio. Richard Teng, ex director global de mercados regionales de Binance, ha sido nombrado nuevo director ejecutivo. Como parte de su acuerdo, Binance se compromete a revisar su programa de cumplimiento y estará bajo la supervisión de un monitor independiente durante los próximos tres años.

Implicaciones regulatorias y para la industria: este caso representa un momento decisivo para la industria de las criptomonedas, destacando el creciente enfoque regulatorio en los activos digitales. El fiscal general de los Estados Unidos, Merrick Garland, enfatizó que el uso de nueva tecnología para violar la ley no exime a las empresas de tener que rendir cuentas. La Secretaria del Tesoro, Janet Yellen, se hizo eco de este sentimiento e insistió en el cumplimiento de las leyes estadounidenses por parte de cualquier institución que se beneficie del sistema financiero estadounidense.

Conclusión: El acuerdo con Binance sirve como un claro recordatorio de las complejidades legales y regulatorias que enfrenta la industria de las criptomonedas. A medida que los activos digitales continúan intersecándose con las finanzas convencionales, este caso puede sentar un precedente sobre cómo las agencias reguladoras de todo el mundo abordan el cumplimiento y la aplicación de la ley en la criptoesfera.

El cargo El Desliz de 4 Mil Millones de Dólares de Binance ¿Cómo los ciberdelincuentes lavan dinero a través de Binance? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 15 de noviembre de 2023

Su seguridad en la nube de Google podría estar en riesgo. Hackear GCP a través de una falla en Google Workspace

En una revelación sorprendente, Bitdefender, una empresa líder en ciberseguridad, ha revelado una serie de métodos de ataque sofisticados que podrían afectar significativamente a los usuarios de Google Workspace y Google Credential Provider para Windows (GCPW). Este descubrimiento resalta posibles debilidades en los servicios de autenticación y de nube ampliamente utilizados, lo que lleva a una reevaluación de las medidas de seguridad actuales.

DESCUBRIMIENTO DE TÉCNICAS DE ATAQUE AVANZADAS

El equipo de investigación de Bitdefender, trabajando en conjunto con su instituto de investigación interno Bitdefender Labs, ha identificado métodos previamente desconocidos que los ciberdelincuentes podrían utilizar para escalar una infracción desde un único punto final a un nivel de toda la red. Estas técnicas, si se explotan, podrían tener consecuencias graves, como ataques de ransomware o filtración masiva de datos.

La progresión del ataque implica varias etapas clave, comenzando desde una única máquina comprometida. Una vez dentro del sistema, los atacantes podrían potencialmente:

  • Muévase entre máquinas clonadas dentro de la red, especialmente si están equipadas con GCPW.
  • Obtenga acceso no autorizado a Google Cloud Platform mediante permisos personalizados.
  • Descifre las contraseñas almacenadas localmente, extendiendo su alcance más allá de la máquina inicialmente comprometida.

Estos hallazgos fueron divulgados responsablemente a Google. Sin embargo, Google ha declarado que estos problemas no se abordarán directamente, ya que quedan fuera de su modelo de amenaza designado. Esta decisión refleja la evaluación de riesgos y las prioridades de seguridad de Google.

LA DOBLE FUNCIÓN DEL PROVEEDOR DE CREDENCIALES DE GOOGLE PARA WINDOWS (GCPW)

En el centro de estas vulnerabilidades se encuentra el Proveedor de credenciales de Google para Windows (GCPW), una herramienta diseñada para optimizar el acceso y la administración dentro del ecosistema de Google. GCPW cumple dos funciones principales:

  1. Administración remota de dispositivos : similar a los sistemas de administración de dispositivos móviles (MDM) como Microsoft Intune, GCPW permite a los administradores administrar y controlar de forma remota los dispositivos Windows conectados a Google Workspace. Esto incluye hacer cumplir políticas de seguridad, implementar actualizaciones de software y administrar la configuración del dispositivo sin necesidad de una conexión VPN o registro de dominio.
  2. Autenticación de inicio de sesión único (SSO) : GCPW facilita el SSO para dispositivos Windows que utilizan credenciales de Google Workspace. Esta integración proporciona una experiencia de inicio de sesión perfecta, lo que permite a los usuarios acceder a sus dispositivos con las mismas credenciales utilizadas para los servicios de Google como Gmail, Google Drive y Google Calendar.

EL MECANISMO OPERATIVO DE GCPW

Comprender el funcionamiento de GCPW es crucial para comprender las vulnerabilidades. Aquí hay un desglose de su proceso operativo:

  • Creación de cuenta de servicio local : al instalar GCPW, se crea una nueva cuenta de usuario llamada ‘gaia’. Esta cuenta, que no está destinada a interacciones habituales de usuarios, sirve como una cuenta de servicio con privilegios elevados.
  • Integración del proveedor de credenciales : GCPW integra un nuevo proveedor de credenciales en el servicio del subsistema de autoridad de seguridad local de Windows (lsass), un componente crítico responsable de manejar las operaciones de seguridad y la autenticación de usuarios en Windows.
  • Creación de cuentas de usuario locales : GCPW facilita la creación de nuevas cuentas de usuarios locales vinculadas a cuentas de Google Workspace cada vez que un nuevo usuario se autentica en el sistema.
  • Procedimiento de inicio de sesión : estos usuarios de Google Workspace inician sesión utilizando sus perfiles locales recién creados, donde se almacena un token de actualización para garantizar el acceso continuo sin solicitudes repetidas de autenticación.

MÉTODOS DE ATAQUE DESCUBIERTOS

La investigación de Bitdefender arroja luz sobre vectores de ataque específicos que explotan las funcionalidades de GCPW:

MOVIMIENTO LATERAL DE LA IMAGEN DORADA :

  • Desafío del entorno virtualizado : en entornos que utilizan máquinas virtuales (VM) clonadas, como soluciones de infraestructura de escritorio virtual (VDI) o escritorio como servicio (DaaS), la instalación de GCPW en una máquina base significa que la cuenta ‘gaia’ y su La contraseña se clona en todas las máquinas virtuales.
  • Implicación del ataque : si un atacante descubre la contraseña de una cuenta ‘gaia’, potencialmente puede acceder a todas las máquinas que hayan sido clonadas desde la misma imagen base.
  • Escenario : Imagine una empresa, “Acme Corp”, que utiliza una infraestructura de escritorio virtual (VDI) donde se clonan varias máquinas virtuales (VM) a partir de una única “imagen dorada” para lograr eficiencia. Esta imagen tiene el Proveedor de credenciales de Google para Windows (GCPW) preinstalado para facilitar el acceso.
  • Ejemplo de ataque :
  • Un atacante, Alice, logra comprometer una de las máquinas virtuales de Acme Corp. Durante su exploración, descubre que la VM tiene GCPW instalado.
  • Se entera de que la contraseña de la cuenta ‘gaia’ creada durante la configuración de GCPW es idéntica en todas las máquinas virtuales clonadas porque se derivaron de la misma imagen dorada.
  • Al extraer la contraseña de la cuenta ‘gaia’ de la VM comprometida, Alice ahora puede acceder a todas las demás VM clonadas desde la misma imagen. Esto le permite moverse lateralmente a través de la red, potencialmente accediendo a información confidencial o implementando malware.

SOLICITUD DE TOKEN DE ACCESO NO AUTORIZADO :

  • Explotación de tokens OAuth : GCPW almacena un token de actualización de OAuth 2.0 dentro de la sesión del usuario, manteniendo el acceso al ecosistema más amplio de Google. Los atacantes que obtengan acceso a este token pueden solicitar nuevos tokens de acceso con permisos variados.
  • Alcance del abuso : los permisos otorgados por estos tokens pueden permitir a los atacantes acceder o manipular una amplia gama de datos de usuario y servicios de Google, evitando efectivamente los procesos de autenticación multifactor (MFA).
  • Escenario : en otra empresa, “Beta Ltd.”, los empleados utilizan sus credenciales de Google Workspace para iniciar sesión en sus máquinas con Windows, facilitado por GCPW.

Ejemplo de ataque :

  • Bob, un ciberdelincuente, obtiene acceso inicial a la computadora de un empleado de Beta Ltd. mediante un ataque de phishing.
  • Una vez dentro del sistema, Bob encuentra el token de actualización de OAuth 2.0 almacenado por GCPW. Este token está destinado a mantener un acceso fluido a los servicios de Google sin inicios de sesión repetidos.
  • Con este token, Bob elabora una solicitud a los servidores de autenticación de Google haciéndose pasar por el usuario legítimo. Solicita nuevos tokens de acceso con permisos amplios, como acceso a correos electrónicos o almacenamiento en la nube.
  • Con estos tokens, Bob ahora puede acceder a datos confidenciales en el entorno de Google Workspace del empleado, como correos electrónicos o documentos, sin pasar por cualquier autenticación multifactor configurada por la empresa.

AMENAZA DE RECUPERACIÓN DE CONTRASEÑA :

  • Riesgo de credenciales de texto sin formato : el mecanismo de GCPW para guardar contraseñas de usuario como secretos LSA cifrados, destinados al restablecimiento de contraseñas, presenta una vulnerabilidad. Los atacantes expertos podrían descifrar estas credenciales, lo que les permitiría hacerse pasar por usuarios y obtener acceso ilimitado a la cuenta.

Escenario : una pequeña empresa, “Gamma Inc.”, utiliza GCPW para administrar sus dispositivos Windows y cuentas de Google Workspace.

Ejemplo de ataque :

  • Carla, una hacker experimentada, apunta a Gamma Inc. Ella logra violar uno de los sistemas de los empleados a través de un archivo adjunto de correo electrónico cargado de malware.
  • Después de obtener acceso, Carla localiza el secreto LSA cifrado almacenado por GCPW, que contiene la contraseña de Google Workspace del usuario.
  • Utilizando técnicas avanzadas de descifrado, descifra esta contraseña. Ahora, Carla tiene los mismos privilegios de acceso que el empleado, no sólo en la máquina local sino en todos los servicios de Google donde se utiliza la cuenta del empleado.
  • Esto le permite a Carla hacerse pasar por el empleado, acceder a los correos electrónicos de la empresa, manipular documentos o incluso transferir fondos si el empleado tiene privilegios financieros.

POSTURA DE GOOGLE E IMPLICACIONES DE SEGURIDAD

La decisión de Google de no abordar estos hallazgos, citando su exclusión del modelo de amenaza específico de la compañía, ha suscitado un debate en la comunidad de la ciberseguridad. Mientras que el riesgo de Google

El cargo Su seguridad en la nube de Google podría estar en riesgo. Hackear GCP a través de una falla en Google Workspace apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 14 de noviembre de 2023

Azure CLI almacena las credenciales en peor forma y permite hackear el entorno de la nube

CVE-2023-36052 es una vulnerabilidad de seguridad crítica en la interfaz de línea de comandos (CLI) de Azure , una herramienta para administrar recursos de Azure. Esta vulnerabilidad, informada por Prisma Cloud de Palo Alto, permitió a atacantes no autenticados acceder de forma remota a contenidos de texto sin formato, incluidos nombres de usuarios y contraseñas, desde registros de integración continua e implementación continua (CI/CD) creados con la CLI de Azure. Estos registros podrían ser publicados por Azure DevOps y/o GitHub Actions. Para mitigar este riesgo, se recomendó a los usuarios que actualizaran su CLI de Azure a la versión 2.53.1 o superior.

Consideremos un ejemplo hipotético para comprender las implicaciones de CVE-2023-36052:

Supongamos que un equipo de desarrollo usa la CLI de Azure para administrar sus recursos de Azure y automatiza su proceso de implementación mediante GitHub Actions. Durante sus operaciones de rutina, ejecutan varios comandos de la CLI de Azure que generan registros. Estos registros, de forma predeterminada, incluyen credenciales en texto sin formato, como nombres de usuario y contraseñas.

Un atacante externo, consciente de esta vulnerabilidad, podría acceder al repositorio público donde están configuradas las GitHub Actions del equipo. Al examinar los registros de CI/CD publicados allí, el atacante podría encontrar y extraer estas credenciales en texto plano. Con estas credenciales, el atacante podría obtener acceso no autorizado a los recursos de Azure del equipo, lo que podría provocar violaciones de datos, modificaciones no autorizadas o incluso interrupciones del servicio.

Este escenario subraya la naturaleza crítica de CVE-2023-36052, donde registros aparentemente benignos podrían convertirse inadvertidamente en una fuente de importantes violaciones de seguridad. Los pasos de mitigación proporcionados por Microsoft, incluida la actualización de la CLI de Azure y la implementación de mejores prácticas para la administración de registros y la rotación de claves, son esenciales para evitar dicho acceso no autorizado.

Mitigación

Microsoft implementó varias medidas para abordar esta vulnerabilidad. Éstas incluyen:

  1. Actualización de la CLI de Azure: se recomienda a los clientes que actualicen la CLI de Azure a la última versión.
  2. Protección de registros: evitar la exposición de la salida de la CLI de Azure en registros o ubicaciones de acceso público e implementar guías para enmascarar variables de entorno.
  3. Rotación regular de claves y secretos: Fomentar la rotación regular de claves y secretos.
  4. Revisión de las mejores prácticas de seguridad: brinda orientación sobre la administración de secretos para los servicios de Azure y las acciones de GitHub, y garantiza que los repositorios de GitHub sean privados a menos que sea necesario que sean públicos.
  5. Protección de Azure Pipelines: ofrece orientación para proteger Azure Pipelines.
  6. Mejora de las configuraciones predeterminadas: introducción de una nueva configuración predeterminada en la CLI de Azure para evitar la divulgación accidental de información confidencial. Esto incluyó restringir la presentación de secretos en la salida de los comandos de actualización y ampliar las capacidades de redacción de credenciales en GitHub Actions y Azure Pipelines.

Solución alterna

Sin parches, la principal forma alternativa de mitigar los riesgos asociados con CVE-2023-36052 implica varias mejores prácticas y medidas de seguridad:

  1. Prácticas de registro seguro: asegúrese de que los registros no contengan información confidencial. Esto podría implicar secuencias de comandos o herramientas personalizadas para filtrar u ofuscar las credenciales y otros datos confidenciales antes de que se registren.
  2. Control de acceso a registros: restrinja el acceso a los registros de CI/CD. Asegúrese de que solo el personal autorizado pueda ver estos registros y que no sean de acceso público.
  3. Rotación frecuente de credenciales: cambie periódicamente las credenciales y los secretos para reducir la ventana de oportunidad para que un atacante utilice credenciales comprometidas.
  4. Monitoreo y alertas: implemente el monitoreo para detectar patrones de acceso inusuales o uso de credenciales, lo que podría indicar un compromiso.
  5. Segmentación del entorno: Segregar los entornos de desarrollo, prueba y producción. Limite el alcance a lo que puede acceder cada entorno para minimizar los daños potenciales.

Sin embargo, estas medidas son más complejas y potencialmente menos efectivas que actualizar la CLI de Azure a una versión parcheada. La aplicación de parches aborda directamente la vulnerabilidad en su origen, proporcionando una solución más completa y sencilla.

El cargo Azure CLI almacena las credenciales en peor forma y permite hackear el entorno de la nube apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

sábado, 11 de noviembre de 2023

Cómo se utiliza la técnica Living-off-the-land (LotL) para hackear las redes eléctricas y provocar cortes de energía

Las técnicas de Living-off-the-land (LotL) en los ciberataques se refieren al uso de herramientas nativas legítimas ya presentes en el sistema objetivo para llevar a cabo actividades maliciosas. Este enfoque es particularmente sigiloso porque aprovecha herramientas y procesos que normalmente son confiables y, por lo tanto, es menos probable que generen alarmas. En el contexto de la tecnología operativa (OT) o los sistemas de control industrial (ICS), estos ataques pueden ser especialmente peligrosos debido a la naturaleza crítica de los sistemas involucrados. Así es como podría funcionar un ataque de este tipo, con ejemplos:

1. ACCESO INICIAL

  • Ejemplo : se envía un correo electrónico de phishing a un empleado en el entorno OT/ICS. El correo electrónico contiene un documento aparentemente inofensivo que, cuando se abre, ejecuta un script de PowerShell (una herramienta nativa de Windows) para crear una puerta trasera.

2. MOVIMIENTO LATERAL

  • Ejemplo : una vez dentro de la red, los atacantes pueden utilizar herramientas legítimas de administración del sistema, como el Instrumental de administración de Windows (WMI) o el Protocolo de escritorio remoto (RDP) para moverse lateralmente a través de la red, en busca de componentes críticos de OT/ICS.

3. ELEVACIÓN DE PRIVILEGIOS

  • Ejemplo : los atacantes pueden usar herramientas integradas como Netstat para identificar el software de seguridad o la configuración del firewall y luego usar otros scripts o comandos nativos para desactivar estas defensas o elevar sus privilegios de acceso dentro del sistema.

4. DESCUBRIMIENTO Y RECOPILACIÓN DE INFORMACIÓN

  • Ejemplo : herramientas como Tasklist o Systeminfo (nativas de Windows) se utilizan para recopilar información sobre el sistema, como procesos en ejecución, software instalado o configuraciones de red relevantes para el entorno OT/ICS.

5. EXPLOTACIÓN Y MANIPULACIÓN

  • Ejemplo : en un entorno ICS, los atacantes pueden utilizar protocolos de comunicación industriales estándar como Modbus o DNP3 (que son legítimos y esenciales para las operaciones normales) para enviar comandos maliciosos a los sistemas de control, lo que podría alterar procesos físicos como la generación de energía o el tratamiento del agua.

6. PERSISTENCIA Y EXFILTRACIÓN

  • Ejemplo : los atacantes podrían utilizar herramientas de transferencia de datos estándar como FTP o incluso BITS (Servicio de transferencia inteligente en segundo plano) de Windows para filtrar datos robados o mantener la persistencia actualizando periódicamente el malware o descargando herramientas adicionales.

7. LIMPIEZA

  • Ejemplo : para borrar sus huellas, los atacantes pueden utilizar herramientas de limpieza nativas o scripts para eliminar registros o cualquier evidencia de sus actividades, lo que dificulta mucho la detección y el análisis forense.

A finales de 2022, se produjo un importante incidente ciberfísico en Ucrania, atribuido al actor de amenazas Sandworm vinculado a Rusia. Este evento tuvo como objetivo la infraestructura crítica de Ucrania y utilizó una estrategia de ciberataque de múltiples eventos, incorporando técnicas innovadoras para impactar los sistemas de control industrial (ICS) y la tecnología operativa (OT). El actor de Sandworm empleó técnicas de vida de la tierra (LotL) de nivel OT, lo que probablemente provocó que se dispararan los disyuntores de una subestación y provocara un corte de energía no planificado . Esta interrupción coincidió con ataques masivos con misiles en la infraestructura crítica de Ucrania. Además, Sandworm ejecutó un segundo evento disruptivo al implementar una nueva variante del malware CADDYWIPER en el entorno de TI de la víctima.

Este ataque ejemplifica los últimos avances en las capacidades de ataque ciberfísico de Rusia, particularmente visibles desde la invasión rusa de Ucrania. Las técnicas utilizadas indican un arsenal ofensivo de OT maduro, capaz de identificar nuevos vectores de amenazas de OT, desarrollar nuevas capacidades y aprovechar varios tipos de infraestructura de OT para ataques. La utilización de técnicas LotL probablemente redujo el tiempo y los recursos necesarios para el ataque ciberfísico. Aunque el punto de intrusión inicial sigue sin determinarse, el rápido desarrollo del componente OT de este ataque sugiere la capacidad del actor para crear rápidamente capacidades similares contra otros sistemas OT a nivel mundial.

Sandworm, activo desde al menos 2009, es un actor de amenazas versátil que lleva a cabo operaciones de espionaje, influencia y ataque, principalmente apoyando a la Dirección Principal de Inteligencia de Rusia (GRU). El enfoque principal del grupo ha sido Ucrania, donde ha orquestado ataques disruptivos y destructivos utilizando malware de limpieza, especialmente durante la nueva invasión de Rusia en 2022. Sin embargo, las actividades de Sandworm se extienden a nivel mundial, lo que subraya las amplias ambiciones e intereses del ejército ruso en varias regiones. La actividad de amenazas global del grupo y las novedosas capacidades de OT requieren medidas proactivas por parte de los propietarios de activos de OT para mitigar los riesgos potenciales.

Según la investigación de Mandiant, la intrusión de 2022 comenzó o antes de junio de 2022 y culminó con dos eventos disruptivos el 10 y 12 de octubre. Sandworm accedió al entorno OT a través de un hipervisor que albergaba una instancia de gestión SCADA para una subestación, lo que podría tener acceso al sistema SCADA durante hasta a tres meses. El 10 de octubre, Sandworm utilizó una imagen de disco óptico (ISO), “a.iso”, para ejecutar un binario MicroSCADA nativo, probablemente para comandos de control maliciosos para apagar subestaciones. Los atacantes ingresaron al sistema de tecnología operativa (OT) a través de una pieza clave de software (un hipervisor) que administraba el sistema de control (SCADA) de una subestación eléctrica. Esto significa que tenían acceso al sistema que controla el funcionamiento de la subestación eléctrica. Hasta tres meses podrían haber estado dentro de este sistema sin ser detectados. El 10 de octubre, utilizaron un archivo especial (una imagen ISO llamada “a.iso”) para ejecutar un comando en el sistema de control que probablemente tenía como objetivo apagar las subestaciones eléctricas.

Este caso subraya la naturaleza cambiante de las amenazas cibernéticas, particularmente en sectores de infraestructura crítica. La creciente sofisticación y el rápido desarrollo de este tipo de ataques resaltan la necesidad de mejorar las medidas de ciberseguridad, el monitoreo continuo y la preparación contra amenazas cibernéticas novedosas y complejas en entornos OT e ICS.

En entornos OT/ICS, estos ataques LotL son particularmente preocupantes porque:

  • Son más difíciles de detectar debido al uso de herramientas legítimas.
  • Puede causar daños físicos y operativos importantes.
  • Puede eludir las medidas de seguridad tradicionales que no tienen en cuenta el uso malicioso de herramientas nativas.

Defenderse contra tales ataques requiere una combinación de prácticas sólidas de ciberseguridad, incluida la capacitación de los empleados, la segmentación de la red, el monitoreo constante de comportamientos anómalos y la actualización y parcheo periódicos de todos los sistemas.

El cargo Cómo se utiliza la técnica Living-off-the-land (LotL) para hackear las redes eléctricas y provocar cortes de energía apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 8 de noviembre de 2023

¿Cómo hackear clústeres y nodos de Kubernetes a través de etcd?

Kubernetes se ha convertido en la plataforma de orquestación de facto para gestionar aplicaciones en contenedores, pero con su adopción generalizada, la seguridad de los clústeres de Kubernetes ha sido objeto de un mayor escrutinio. Un elemento central de la arquitectura de Kubernetes es etcd, un almacén clave-valor de alta disponibilidad que se utiliza para conservar el estado del clúster y sus detalles de configuración. Si bien etcdes esencial para la funcionalidad del clúster de Kubernetes , también presenta un objetivo tentador para los atacantes. Una nueva investigación muestra cómo una situación comprometida etcdpuede conducir a un control total sobre el clúster, permitiendo cambios no autorizados en los recursos, alterando las operaciones y potencialmente provocando violaciones de datos o interrupciones del servicio. La arquitectura de Kubernetes se divide en dos partes principales: el plano de control y los nodos. El plano de control actúa como eje central e incluye componentes como kube-apiserver (el cerebro del clúster), programador (que asigna pods a nodos), administrador de control (que gestiona el estado de varios elementos del clúster) y etcd ( un almacén de valores clave para datos del clúster). Los nodos contienen componentes como kubelet (que garantiza que los pods se ejecuten correctamente) y kube-proxy (que conecta los servicios a la red).

Etcd es más que un simple componente de almacenamiento en Kubernetes; Es una parte crítica de la arquitectura. Es una base de datos clave-valor que almacena toda la información del clúster. Los datos en etcd se almacenan utilizando un formato de serialización llamado Protobuf, desarrollado por Google para el intercambio de datos eficiente entre sistemas. Kubernetes utiliza Protobuf para serializar diferentes tipos de datos, como pods y roles, cada uno de los cuales requiere diferentes parámetros y definiciones.

La investigación describe una herramienta llamada auger, que puede serializar y deserializar datos almacenados en etcd en formatos más legibles como YAML y JSON. NCC Group ha desarrollado un contenedor para auger llamado kubetcd para mostrar cómo un etcd comprometido puede ser crítico.

Sin embargo, explotar etcd tiene limitaciones. Necesitaría acceso de root al host que ejecuta etcd y tener los certificados necesarios para la autenticación. Además, esta técnica se aplica principalmente a entornos Kubernetes autoadministrados, no a los administrados que ofrecen los proveedores de la nube.

El acceso directo a etcd podría usarse para alterar los recursos de Kubernetes, como cambiar la fecha de inicio de un pod o crear inconsistencias que dificulten la administración de los pods.

El acceso directo a etcd, el almacén clave-valor de Kubernetes, podría permitir a un atacante realizar modificaciones no autorizadas en el estado del clúster, lo que podría provocar diversos problemas de seguridad. Aquí hay algunos ejemplos de cómo esto podría explotarse:

Cambiar las marcas de tiempo del pod :

  • Los atacantes con acceso etcdpodrían alterar las marcas de tiempo de creación de los pods. Esto podría usarse para disfrazar pods maliciosos como procesos confiables y de larga duración.
  • Ejemplo:
    bash kubetcd create pod nginx -t nginx --time 2000-01-31T00:00:00Z
    este comando establece la marca de tiempo de un pod nginx al 31 de enero de 2000, haciendo que parezca como si hubiera estado ejecutándose durante más de 20 años.

Ganando persistencia :

  • Al cambiar la ruta donde se almacenan los datos de un pod etcd, un atacante podría evitar que los comandos normales de la API de Kubernetes eliminen el pod.
  • Ejemplo:
    bash kubetcd create pod maliciouspod -t nginx -p randomentry
    este comando crea un pod y almacena sus datos en una ruta diferente, lo que dificulta que Kubernetes lo administre o elimine.

Creando Pods semi-ocultos :

  • Los atacantes podrían manipular las entradas del espacio de nombres etcdpara ejecutar pods en un espacio de nombres que no coincida con su manifiesto. Esto puede causar confusión y dificultar el manejo de los grupos.
  • Ejemplo:
    bash kubetcd create pod hiddenpod -t nginx -n invisible --fake-ns
    este comando crea un pod que parece ejecutarse en el defaultespacio de nombres pero que en realidad está asociado con el invisibleespacio de nombres en etcd. Este pod no aparecerá en el espacio de nombres predeterminado, lo que lo hará semi-oculto.

Sin pasar por los controladores de admisión :

  • Los controladores de admisión hacen cumplir las políticas de seguridad en Kubernetes. Al inyectar recursos directamente en etcd, un atacante puede eludir estos controles e implementar pods privilegiados que podrían comprometer el clúster.
  • Ejemplo:
    bash kubetcd create pod privilegedpod -t nginx -n restricted-ns -P
    este comando inyecta un pod privilegiado en un espacio de nombres que se supone está restringido por las políticas de admisión de seguridad del pod (PSA).

Manipulación de funciones de clúster y vinculaciones de funciones :

  • Los atacantes pueden modificar roles y vinculaciones de roles directamente etcdpara escalar privilegios.
  • Ejemplo:
    bash kubetcd modify rolebinding admin-binding --clusterrole=cluster-admin --user=attacker
    este comando hipotético cambia un enlace de rol para otorgar al attackerusuario privilegios de administrador del clúster.

Estos ejemplos muestran los peligros potenciales si un atacante obtiene acceso directo a etcd. Pueden realizar cambios que no están sujetos a los controles y equilibrios habituales de la API de Kubernetes, lo que lleva a un control no autorizado sobre los recursos del clúster. Por este motivo, asegurar etcdel acceso es fundamental en un entorno de Kubernetes.

Mitigación

Para mitigar los riesgos asociados etcdy prevenir los tipos de manipulación mencionados anteriormente, se deben implementar varios pasos y mejores prácticas:

Control de acceso :

  • Restrinja el acceso etcdmediante la implementación de mecanismos sólidos de autenticación y autorización. Utilice certificados de cliente TLS para proteger la comunicación con etcd.
  • Rote periódicamente etcdlas credenciales de acceso y audite los registros de acceso para detectar intentos de acceso no autorizados.

Políticas de red :

  • Limite el acceso a la red a etcdlos servidores, asegurándose de que solo componentes específicos y autorizados puedan comunicarse con etcd.
  • Implemente reglas de firewall o políticas de red de Kubernetes para controlar el tráfico hacia etcdlos servidores.

Cifrado etcd :

  • Habilite el cifrado en reposo para etcdproteger datos confidenciales. Incluso si los atacantes obtienen acceso físico al etcdalmacenamiento, no deberían poder leer los datos sin las claves de cifrado.

Copias de seguridad periódicas :

  • Haga una copia de seguridad periódica del etcdalmacén de datos. En caso de una infracción, esto permite restaurar el clúster a un buen estado conocido.
  • Garantice la integridad de las copias de seguridad verificándolas y probándolas periódicamente.

Seguimiento y Auditoría :

  • Implemente monitoreo para detectar actividades anormales, como cambios inesperados en etcd.
  • Utilice herramientas como las capacidades de auditoría integradas de etcd, Falco u otros sistemas de detección de intrusiones para alertar sobre comportamientos sospechosos.

Principio de privilegio mínimo :

  • Aplicar el principio de privilegio mínimo para el etcdacceso. Asegúrese de que solo los componentes necesarios tengan el nivel de acceso mínimo requerido para realizar sus funciones.

Gestión de parches :

  • Actualice periódicamente etcda la última versión para mitigar las vulnerabilidades causadas por defectos de software.

Controladores de admisión :

  • Utilice controladores de admisión como OPA Gatekeeper o Kyverno para definir y aplicar políticas que puedan ayudar a prevenir la creación de recursos no autorizados dentro de Kubernetes.

Contextos y políticas de seguridad :

  • Aplique contextos de seguridad y políticas de seguridad de pods (o sus sucesoras, como Admisión de seguridad de pods) para aplicar configuraciones relacionadas con la seguridad en pods y evitar la escalada de privilegios.

Plan de recuperación de desastres :

  • Tenga un plan de recuperación ante desastres en caso de que etcdse vea comprometido. Este plan debe incluir pasos para aislar los sistemas afectados, revocar las credenciales comprometidas y restaurar a partir de copias de seguridad.

Educación y formación :

  • Capacite al equipo de operaciones para que comprenda los riesgos de seguridad asociados con etcdKubernetes y cómo aplicar las mejores prácticas para proteger el clúster.

Al implementar estas mitigaciones, las organizaciones pueden reducir significativamente el riesgo de acceso no autorizado y manipulación etcd, protegiendo así sus clústeres de Kubernetes. Mitigar los riesgos asociados etcd garantiza la integridad y confiabilidad de los clústeres de Kubernetes. Al implementar las mejores prácticas de seguridad de la industria y mantener una postura proactiva ante posibles vulnerabilidades, las organizaciones pueden implementar y administrar con confianza sus cargas de trabajo en contenedores, manteniéndolas seguras en un panorama de amenazas en constante evolución.

El cargo ¿Cómo hackear clústeres y nodos de Kubernetes a través de etcd? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 6 de noviembre de 2023

Una Falla para Comprometerlos a Todos: CVE-2023-4911 para hackear Debian, Ubuntu y Fedrora

CVE-2023-4911 es una vulnerabilidad de seguridad grave dentro de la Biblioteca GNU C (glibc), específicamente en el cargador dinámico ld.so, asociada al procesamiento de la GLIBC_TUNABLESvariable de entorno. Esta vulnerabilidad ha sido explotada en ataques a la nube, particularmente por un grupo que utiliza el malware Kinsing para operaciones de criptojacking.

GLIBC_TUNABLESLa falla es un desbordamiento del búfer que puede ser explotado por un atacante local utilizando variables de entorno especialmente diseñadas al iniciar archivos binarios con permisos Set-UID (SUID), lo que potencialmente podría permitir la ejecución de código con privilegios elevados. A la Unidad de Investigación de Amenazas Qualys se le atribuye el descubrimiento de esta vulnerabilidad.

A esta vulnerabilidad se le ha asignado una puntuación de gravedad de 7,8, lo que la clasifica como de alta gravedad. La explotación de esta falla podría permitir a un atacante obtener permiso de root en un sistema Linux que ejecuta una versión vulnerable de GLIBC, específicamente la versión 2.34 o similar.

Se ha observado que el problema afecta a las principales distribuciones de Linux, y se recomienda a las organizaciones que utilizan sistemas Linux, especialmente en entornos de nube, que parcheen esta vulnerabilidad lo antes posible para mitigar los riesgos asociados.

Explotar

Para explotar CVE-2023-4911, los actores de amenazas normalmente seguirían una secuencia de pasos que dependen del acceso local a un sistema vulnerable. El proceso de explotación generalmente se puede dividir en las siguientes etapas:

  1. Acceso inicial : primero, el atacante necesita acceso local a un sistema que ejecuta una versión vulnerable de la biblioteca GNU C, específicamente donde ld.sose ve afectado por el desbordamiento del búfer. Este acceso podría obtenerse a través de varios medios, como comprometer una cuenta de usuario con pocos privilegios.
  2. Elaboración de entradas maliciosas : el atacante crea una GLIBC_TUNABLESvariable de entorno maliciosa. Esta variable está destinada a ajustarse a aspectos de rendimiento y comportamiento de la biblioteca GNU C, pero cuando se diseña de forma maliciosa, puede provocar un desbordamiento del búfer.
  3. Explotación del desbordamiento del búfer : al activar el desbordamiento del búfer, el atacante pretende sobrescribir ciertas áreas de la memoria. Esta podría ser la pila, el montón u otras ubicaciones de memoria, dependiendo de cómo el cargador dinámico ( ld.so) maneja la variable de entorno.
  4. Inyectar código o redirigir la ejecución : la memoria sobrescrita podría incluir la inyección de código malicioso o podría alterar el flujo de ejecución del proceso para saltar al código que controla el atacante. Normalmente, esto sería un shellcode: un pequeño fragmento de código que inicia un shell u otro mecanismo de control.
  5. Elevación de privilegios : si el proceso que se está explotando tiene permisos SUID, se ejecuta con los privilegios del propietario del archivo, a menudo root. Al explotar dicho proceso, el atacante puede ejecutar su código con privilegios elevados, obteniendo de manera efectiva acceso raíz al sistema.

He aquí un ejemplo hipotético:

  • Alice es administradora de sistemas para un proveedor de servicios en la nube que utiliza servidores Linux.
  • Bob es un actor de amenazas que logró obtener acceso a una cuenta con pocos privilegios en uno de los servidores Linux debido a una contraseña débil.
  • El servidor ejecuta una versión de GLIBC que es vulnerable a CVE-2023-4911.
  • Bob escribe una GLIBC_TUNABLESvariable maliciosa y la usa junto con una aplicación vulnerable que tiene SUID configurado para ejecutarse como root.
  • Cuando se ejecuta la aplicación, la variable maliciosa provoca un desbordamiento del búfer ld.so, que Bob aprovecha para redirigir el flujo de ejecución de la aplicación a su código shell.
  • El shellcode de Bob se ejecuta con privilegios de root, lo que le otorga control total sobre el servidor.
  • Ahora, con acceso de root, Bob podría instalar puertas traseras persistentes, filtrar datos o utilizar el servidor comprometido para futuros ataques.

Es importante tener en cuenta que la explotación de CVE-2023-4911, como muchas vulnerabilidades, requiere que se cumplan condiciones específicas y, a menudo, un conocimiento sofisticado de los componentes internos del software, el diseño de la memoria y las técnicas de explotación. Los detalles exactos del exploit pueden variar según la configuración del sistema, los objetivos del atacante y las variables de entorno involucradas.

El equipo de Aqua Nautilus documentó un ataque del malware Kinsing que aprovechó CVE-2023-4911 para elevar los permisos en una máquina comprometida. Así es como describieron el proceso de explotación:

  1. Acceso inicial : los atacantes obtuvieron acceso inicial explotando una vulnerabilidad PHPUnit (CVE-2017-9841), lo que les permitió descargar y ejecutar un script Perl para abrir un shell inverso en la máquina comprometida.
  2. Pruebas manuales : los atacantes de Kinsing probaron manualmente los comandos de shell en los sistemas comprometidos. Estos comandos incluían recopilar información del sistema, iniciar una sesión de shell interactiva y crear un directorio en /tmp.
  3. Descarga de exploits : descargaron un script llamado gnu-acme.py, que era un exploit para la vulnerabilidad Looney Tunables (CVE-2023-4911), que permitía la escalada de privilegios locales al explotar un desbordamiento del búfer en el manejo de la GLIBC_TUNABLESvariable de entorno por parte de ld.so.
  4. Ejecución de exploits adicionales : después de esto, buscaron y ejecutaron un exploit de PHP ofuscado que, tras la desofuscación, resultó ser un JavaScript diseñado para futuras actividades de explotación. Esto resultó en una puerta trasera de shell web que les permitía mantener el acceso no autorizado al servidor.

Este ataque demuestra las capacidades sofisticadas de los atacantes para encadenar vulnerabilidades para penetrar entornos de nube, obtener acceso no autorizado y elevar privilegios dentro del sistema.

Kinsing tiene como objetivo recopilar credenciales de CSP, lo que podría exponer datos confidenciales, como la identidad de la instancia de AWS, lo que plantea riesgos en entornos de nube.

A continuación, mencionamos todos los tipos de credenciales y datos que podrían quedar expuestos: –

  • Credenciales de seguridad temporales
  • Credenciales de rol de IAM
  • Tokens de identidad de instancia

Mitigación

Para mitigar un ataque que explota CVE-2023-4911, debes seguir los siguientes pasos:

  1. Parche la vulnerabilidad : actualice la biblioteca GNU C (glibc) a la última versión que incluye una solución para CVE-2023-4911.
  2. Limitar acceso : restrinja el acceso local al personal y los servicios esenciales, minimizando la cantidad de usuarios que potencialmente pueden aprovechar la vulnerabilidad.
  3. Monitorear actividad sospechosa : implemente herramientas de monitoreo para detectar actividad inusual, como cambios inesperados en variables de entorno o procesos no autorizados que intentan obtener privilegios elevados.
  4. Refuerce su entorno : siga las mejores prácticas para reforzar el sistema, como deshabilitar servicios innecesarios, cerrar puertos abiertos y utilizar herramientas como SELinux o AppArmor para mejorar la seguridad.
  5. Auditorías de seguridad periódicas : realice auditorías de seguridad periódicas para identificar y corregir configuraciones incorrectas o privilegios innecesarios que podrían explotarse.
  6. Utilice herramientas de seguridad : emplee soluciones de seguridad como sistemas de detección de intrusiones, firewalls y herramientas antimalware que puedan detectar y prevenir intentos de explotación.
  7. Educar al personal : capacite al personal para que reconozca los intentos de phishing y otras formas de ingeniería social que podrían comprometer el acceso local.
  8. Plan de respuesta a incidentes : disponga de un plan de respuesta a incidentes que incluya procedimientos para abordar las infracciones sospechadas, incluido cómo contener y erradicar las amenazas.
  9. Realice copias de seguridad periódicamente : mantenga copias de seguridad periódicas de los datos críticos para garantizar que pueda restaurar los sistemas a un estado seguro si es necesario.

Si sigue estos pasos, puede reducir significativamente el riesgo de explotación y mitigar el daño potencial de ataques como los que involucran CVE-2023-4911.

El cargo Una Falla para Comprometerlos a Todos: CVE-2023-4911 para hackear Debian, Ubuntu y Fedrora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 2 de noviembre de 2023

CVSS 4.0 Explicado: De la Complejidad a la Claridad en la Evaluación de Vulnerabilidades

El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS, por sus siglas en inglés) ha sido actualizado a la versión 4.0, lo cual fue anunciado de manera oficial por el Foro de Equipos de Respuesta a Incidentes y Seguridad (FIRST). Esta actualización se realiza ocho años después del lanzamiento de CVSS v3.0, la versión previa del sistema. Durante su 35ª conferencia anual, celebrada en junio en Montreal, Canadá, FIRST presentó CVSS 4.0 a los asistentes. El Sistema de Puntuación de Vulnerabilidades Comunes, también conocido como CVSS, es un marco estandarizado para evaluar la gravedad de las vulnerabilidades de software. Lo hace asignando puntuaciones numéricas o etiquetas cualitativas (como bajo, medio, alto y crítico) basadas en factores como la explotabilidad, el impacto en la confidencialidad, integridad, disponibilidad y privilegios necesarios, con puntuaciones más altas indicando vulnerabilidades más graves.

El Sistema de Puntuación de Vulnerabilidades Comunes, más comúnmente referido como CVSS, es una metodología que proporciona un marco para evaluar y comunicar la gravedad de las vulnerabilidades de software. Ofrece una forma estandarizada que las organizaciones y expertos en seguridad pueden utilizar para analizar las vulnerabilidades en función de las características de las mismas y luego priorizarlas. Las calificaciones de CVSS ayudan a tomar decisiones informadas sobre cuáles vulnerabilidades deben abordarse primero y cómo se deben distribuir los recursos para la gestión de vulnerabilidades.

Ha habido varias versiones de CVSS, y cada versión ha incluido mejoras y modificaciones que permiten evaluar de manera más precisa la gravedad de las vulnerabilidades. La versión anterior, CVSS 3.1, ha sido actualizada a la versión actual, CVSS 4.0, que incluye una serie de actualizaciones y mejoras significativas, como las siguientes:

CVSS 4.0 ha sido diseñado con el objetivo de simplificar el sistema de puntuación y hacerlo más accesible para los usuarios. Facilita el proceso de puntuación, lo que lo hace más sencillo de comprender y poner en práctica por parte de los expertos en seguridad.

Puntuación precisa: CVSS 4.0 incluye mejoras en la puntuación para permitir evaluaciones más precisas de las vulnerabilidades. Estas mejoras se lograron mediante la introducción de nuevos métodos de puntuación. Mejora los parámetros base, temporales y ambientales para lograr una representación más precisa del efecto real de una vulnerabilidad.

Métricas mejoradas: Proporciona nuevas métricas, como Alcance y Vector de Ataque, para ofrecer más información sobre la naturaleza de la vulnerabilidad y su impacto en el sistema. Métricas mejoradas.

Fórmula: CVSS 4.0 viene con una fórmula revisada que se puede utilizar para determinar la puntuación total en la escala CVSS. Cuando se combina con indicadores adicionales, esta fórmula proporciona una representación más precisa de la gravedad de las vulnerabilidades.

Información contextual: Cuando se trata de calificar vulnerabilidades, CVSS 4.0 recomienda encarecidamente aprovechar cualquier información contextual disponible. Esto contribuye a proporcionar una evaluación de vulnerabilidad más precisa y relevante según las circunstancias específicas de implementación.

Mayor flexibilidad en la puntuación: La versión actualizada ofrece un mayor grado de flexibilidad en la puntuación de vulnerabilidades. Los usuarios tienen la opción de elegir varios criterios temporales y ambientales para que los datos representen de manera más precisa sus situaciones únicas.

El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) versión 4.0 marca un avance en la puntuación de vulnerabilidades y resuelve algunas de las limitaciones que estaban presentes en las versiones anteriores. Busca ofrecer un sistema para analizar y priorizar vulnerabilidades que sea más preciso y fácil de usar, con el objetivo final de ayudar a las organizaciones a mejorar su postura de seguridad centrándose en los problemas más apremiantes. Con el fin de mejorar sus procedimientos de gestión de vulnerabilidades, los profesionales de la seguridad y las organizaciones deben familiarizarse con CVSS 4.0 y considerar su implementación.

Tomemos un ejemplo de cómo utilizarías CVSS 4.0 para determinar el grado de gravedad de una vulnerabilidad de software. Para este ejemplo, utilizaremos una vulnerabilidad ficticia:

Descripción de la vulnerabilidad: Una aplicación contiene una vulnerabilidad de desbordamiento de búfer, que un atacante puede explotar para ejecutar código arbitrario en el sistema afectado.

Así es como utilizarías CVSS 4.0 para evaluar la gravedad de esta vulnerabilidad:

Métricas base:

Vector de Ataque (AV): La vulnerabilidad puede ser explotada a través de la red (AV:N). El atacante no necesita acceso local al sistema.

Complejidad del Ataque (AC): El ataque no requiere condiciones especiales (AC:BAJA). Es relativamente fácil de explotar.

Privilegios Requeridos (PR): El atacante necesita obtener privilegios elevados (PR:ALTO). Esto lo hace más difícil de explotar.

Interacción del Usuario (UI): No se requiere interacción del usuario (UI:NINGUNA).

Alcance (S): El alcance de la vulnerabilidad no cambia y no afecta a otros componentes (S:INALTERADO).

Métricas temporales:

Madurez del Código de Explotación (E): Hay pruebas de concepto disponibles, pero no se conocen exploits en la naturaleza (E:POC).

Nivel de Remediación (RL): Hay una solución oficial disponible (RL:SOLUCIÓN-OFICIAL).

Confianza del Informe (RC): La vulnerabilidad ha sido confirmada por múltiples fuentes (RC:ALTA).

Métricas Ambientales (Específicas de la configuración de la organización):

Vector de Ataque Modificado (MAV): Los controles de seguridad de la organización han dificultado que los atacantes aprovechen esta vulnerabilidad (MAV:RED).

Complejidad del Ataque Modificada (MAC): Las medidas de seguridad de la organización han aumentado la dificultad de la explotación (MAC:ALTA).

Privilegios Requeridos Modificados (MPR): La configuración de seguridad de la organización requiere privilegios más bajos para una explotación exitosa.

Ahora, puedes calcular la puntuación CVSS 4.0 en función de estas métricas:

  1. Calcula la Puntuación Base: En este caso, podría ser, por ejemplo, 7.8.
  2. Calcula la Puntuación Temporal teniendo en cuenta las métricas temporales: Supongamos que es 6.2.
  3. Calcula la Puntuación Ambiental, teniendo en cuenta las métricas ambientales y los factores específicos de la organización: La puntuación final podría ser 4.3.

La puntuación CVSS 4.0 global para esta vulnerabilidad sería la Puntuación Ambiental, que en este ejemplo es 4.3. Esta puntuación ayuda a las organizaciones a comprender la gravedad de la vulnerabilidad en su contexto específico, considerando las mitigaciones y configuraciones implementadas.

Cuanto mayor sea la puntuación CVSS, más grave será la vulnerabilidad. Las organizaciones pueden priorizar la corrección de las vulnerabilidades con puntuaciones más altas para mejorar su postura de seguridad. CVSS 4.0 ofrece más flexibilidad en este proceso.

El cargo CVSS 4.0 Explicado: De la Complejidad a la Claridad en la Evaluación de Vulnerabilidades apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente