Yaakov's Group | Ciberseguridad

China sigue siendo parte del plan de juego de Microsoft a pesar del gran hackeo

Microsoft ha culpado de un gran ataque a su servicio de correo electrónico Exchange a un grupo vinculado a China.

Pero es poco probable que las consecuencias del incidente, que se estima que afectó a cientos de miles de clientes en todo el mundo, frenarán los intentos de una de las firmas occidentales más exitosas en China de seguir avanzando allí.
El gigante tecnológico estadounidense reveló la semana pasada que un grupo de piratas informáticos llamado Hafnium explotó Microsoft Exchange y pudo obtener acceso a las computadoras. La compañía dijo que el grupo está «evaluado como patrocinado por el estado y operando fuera de China».

Un funcionario estadounidense le dijo recientemente a CNN que hasta 250.000 clientes de Microsoft fueron afectados por el ataque, y la Casa Blanca lo ha considerado una «amenaza activa». Beijing ha rechazado las acusaciones de que está involucrado, advirtiendo la semana pasada que vincular tales ataques «directamente con el gobierno» es un «tema político muy sensible» que no debería basarse en «conjeturas no provocadas».

El truco pone a Microsoft (MSFT) en una situación incómoda. Si bien sus ventas en China representan solo una fracción de sus ingresos totales, la compañía todavía ha promocionado al país como uno de sus mercados «estratégicos» más importantes.
Microsoft ingresó a China en 1992 y durante décadas ha contado con su influyente laboratorio de investigación, Microsoft Research Lab Asia, para ayudarlo a generar influencia. Su software es utilizado por el gobierno y las empresas chinas, y Bing es el único motor de búsqueda extranjero con alguna tracción en China.

Sin embargo, los expertos señalan que la empresa sobrevivió a la guerra comercial entre Estados Unidos y China y a otras tensiones. E incluso cuando se espera que Washington investigue más el incidente, es probable que Microsoft siga adelante con sus planes para desarrollar su presencia en China.

La empresa acaba de nombrar a un nuevo director ejecutivo para la Gran China, Hou Yang. Y ha anunciado planes para duplicar su capacidad de servicio en la nube en el país en los próximos años.

«Microsoft no solo tiene una historia en China, sino una historia más larga de lidiar con amenazas cibernéticas vinculadas al estado», dijo Peter Singer, estratega y miembro senior de New America Foundation con experiencia en ciberseguridad y política exterior.

Construcción de influencia

Microsoft ha trabajado duro para generar buena voluntad en China. Su laboratorio de investigación con sede en Beijing ha cultivado muchos talentos tecnológicos chinos, incluido el fundador de Bytedance, Zhang Yiming, el jefe de tecnología de Alibaba (BABA), Wang Jian, y el ex presidente de Baidu (BIDU), Zhang Yaqin.

El cofundador multimillonario Bill Gates ha visitado China más de una docena de veces desde la década de 1990, y una vez incluso recibió al ex presidente chino Hu Jintao en su casa en el estado de Washington.

El ministro de Relaciones Exteriores de China, Wang Yi, elogió al ex director ejecutivo como un «viejo amigo del pueblo chino» en 2018, y el presidente Xi Jinping escribió a Gates el año pasado para agradecerle su apoyo en la lucha contra el Covid-19.

La influencia de la empresa ha llevado al éxito. Emplea a más de 6.000 personas allí y sus productos todavía están disponibles donde otros no lo están. Si bien Facebook (FB) está bloqueado, por ejemplo, LinkedIn de Microsoft sigue siendo una de las pocas herramientas de redes sociales occidentales disponibles en el continente. El motor de búsqueda Bing también está operativo, mientras que Google (GOOGL) se ha eliminado durante años.

Desafíos en China

Sin embargo, la empresa enfrenta desafíos en China.
El presidente Brad Smith dijo el año pasado que Microsoft obtiene menos del 2% de las ventas globales de China, una cantidad que asciende a unos 2.000 millones de dólares según las cifras de 2019.

Algunos han atribuido la falta de ventas a la piratería: en 2018, el ex director ejecutivo Steve Ballmer le dijo a Fox Business Network que la gran mayoría de las empresas chinas utilizan el sistema operativo de Microsoft, aunque casi ninguna empresa paga por él. Ballmer, quien dejó Microsoft en 2014, estimó que la piratería le costó a la compañía alrededor de $ 10 mil millones en ganancias.

Las acusaciones de piratería han generado durante mucho tiempo un acalorado debate dentro de China, incluido el rechazo frecuente del gobierno chino. Un destacado científico del gobierno, Ni Guangnan, de la Academia China de Ingeniería, incluso una vez afirmó en una entrevista de 2018 con los medios estatales chinos que Microsoft permitía «deliberadamente» el uso de productos pirateados para que los sistemas operativos fabricados localmente no ganaran terreno.

Microsoft también ha encontrado tensiones con las autoridades chinas. En 2014, los reguladores anunciaron una investigación antimonopolio en el sistema de software Windows de la empresa y allanaron oficinas. Sin embargo, nunca se anunció ningún castigo.
A pesar de esos baches, Microsoft ha seguido centrándose en la expansión. Está tratando de hacer crecer su negocio en la nube en China, el segundo mercado más grande del mundo después de Estados Unidos, aumentando la capacidad de su versión china de Microsoft Azure. Se asoció con una empresa china local en 2014 para llevar su computación en la nube a China.

Microsoft dijo este mes que quiere que su nuevo CEO regional «aproveche las oportunidades de alto crecimiento» en la Gran China mediante la creación de asociaciones en tecnología y en otros lugares.

«Parece que Microsoft todavía se está expandiendo en China, incluida la cooperación en gestión de datos y ciberseguridad en la nube», dijo Winston Ma, profesor adjunto de la Universidad de Nueva York y ex director gerente de China Investment Corp., un fondo soberano chino.

Yaakov´s Group te puede asesorar para evitar hackeos en tu organización ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

Fuente: CNN

Exploit para la vulnerabilidad del protocolo remoto de Netlogon, CVE-2020-1472

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) tiene conocimiento del código de explotación disponible públicamente para CVE-2020-1472, una vulnerabilidad de elevación de privilegios en Netlogon de Microsoft. Aunque Microsoft proporcionó parches para CVE-2020-1472 en agosto de 2020, los sistemas sin parches serán un objetivo atractivo para los actores maliciosos. Los atacantes podrían aprovechar esta vulnerabilidad para obtener acceso de administrador de dominio.

CISA anima a los usuarios y administradores a revisar el Aviso de seguridad de agosto de Microsoft para CVE-2020-1472 y el artículo para obtener más información y aplicar las actualizaciones necesarias.

Parches de Microsoft Edición martes, agosto de 2020

Según lo informado por el sitio krebsonsecurity  Microsoft lanzó hoy actualizaciones para tapar al menos 120 agujeros de seguridad en sus sistemas operativos Windows y software compatible, incluidas dos vulnerabilidades recién descubiertas que están siendo explotadas activamente. Sí, buena gente del mundo de Windows, ¡es hora de volver a hacer copias de seguridad y reparar!

Al menos 17 de los errores solucionados en el lote de parches de agosto abordan las vulnerabilidades que Microsoft califica como «críticas», lo que significa que pueden ser explotados por malhechores o malware para obtener un control remoto completo sobre un sistema afectado con poca o ninguna ayuda de los usuarios. Este es el sexto mes consecutivo que Microsoft envía correcciones para más de 100 fallas en sus productos.

El más preocupante de estos parece ser CVE-2020-1380, que es una debilidad en Internet Explorer que podría resultar en un compromiso del sistema con solo navegar con IE a un sitio web pirateado o malicioso. El aviso de Microsoft dice que esta falla se está explotando actualmente en ataques activos.

La otra falla que disfruta de la explotación activa es CVE-2020-1464, que es un error de «suplantación» en la versión virtualmente compatible de Windows que permite a un atacante eludir las funciones de seguridad de Windows y cargar archivos firmados incorrectamente.

La iniciativa Zero Day de Trend Micro apunta a otra solución, CVE-2020-1472, que implica un problema crítico en las versiones de Windows Server que podría permitir que un atacante no autenticado obtenga acceso administrativo a un controlador de dominio de Windows y ejecute una aplicación de su elección. Un controlador de dominio es un servidor que responde a las solicitudes de autenticación de seguridad en un entorno Windows, y un controlador de dominio comprometido puede darles a los atacantes las claves del reino dentro de una red corporativa.

«Es raro ver un error de elevación de privilegios con calificación crítica, pero este se lo merece», dijo Dustin Childs de ZDI. «Lo peor es que no hay una solución completa disponible».

Quizás la vulnerabilidad más «elite» abordada este mes ganó la distinción de ser nombrada CVE-2020-1337, y se refiere a un agujero de seguridad en el servicio Windows Print Spooler que podría permitir a un atacante o malware escalar sus privilegios en un sistema si ya habían iniciado sesión como usuario habitual (no administrador).

Satnam Narang en Tenable señala que CVE-2020-1337 es una omisión de parche para CVE-2020-1048, otra vulnerabilidad de Windows Print Spooler que fue parcheada en mayo de 2020. Narang dijo que los investigadores encontraron que el parche para CVE-2020-1048 estaba incompleto y presentó sus hallazgos para CVE-2020-1337 en la conferencia de seguridad de Black Hat a principios de este mes. Más información sobre CVE-2020-1337, incluida una demostración en video de un exploit de prueba de concepto, está disponible aquí.

Adobe amablemente nos ha dado un respiro de un mes más para corregir fallas de Flash Player, pero lanzó actualizaciones de seguridad críticas para sus productos Acrobat y PDF Reader. Más información sobre esas actualizaciones está disponible aquí.

Tenga en cuenta que, si bien es imprescindible mantenerse actualizado con los parches de Windows, es importante asegurarse de que está actualizando solo después de haber realizado una copia de seguridad de sus datos y archivos importantes. Una copia de seguridad confiable significa que es menos probable que se tire de los pelos cuando algún parche con errores causa problemas al iniciar el sistema.

Así que hazte un favor y haz una copia de seguridad de tus archivos antes de instalar cualquier parche. Windows 10 incluso tiene algunas herramientas integradas para ayudarlo a hacer eso, ya sea por archivo / carpeta o haciendo una copia completa y de arranque de su disco duro de una vez.

Y como siempre, si experimenta fallas o problemas al instalar cualquiera de estos parches este mes, considere dejar un comentario al respecto a continuación; Existe una probabilidad mucho mayor de que otros lectores hayan experimentado lo mismo y puedan intervenir aquí con algunos consejos útiles.

Fuente: krebsonsecurity

CISA publica directiva de emergencia sobre vulnerabilidad crítica de Microsoft

La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) ha publicado la Directiva de emergencia 20-03 que aborda una vulnerabilidad crítica (CVE-2020-1350) que afecta a todas las versiones de Windows Server con el rol del Sistema de nombres de dominio (DNS) habilitado. Un atacante remoto podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado. Esta vulnerabilidad se considera «wormable» porque el malware que lo explota en un sistema podría, sin la interacción del usuario, propagarse a otros sistemas vulnerables.

Aunque la Directiva de emergencia 20-03 se aplica solo a ciertos departamentos y agencias del Poder Ejecutivo, CISA recomienda encarecidamente a los gobiernos estatales y locales, el sector privado y otros que corrijan esta vulnerabilidad crítica tan pronto como sea posible. Revise los siguientes recursos para obtener más información:

Fuente: CISA

La vulnerabilidad de RCE ‘Wormable’ crítica de 17 años afecta a los servidores DNS de Windows

Los investigadores de seguridad cibernética revelaron hoy una nueva vulnerabilidad «crítica» muy crítica, con un puntaje de gravedad de 10 sobre 10 en la escala CVSS, que afecta a las versiones de Windows Server 2003 a 2019.

La falla de ejecución remota de código de 17 años (CVE-2020-1350), denominada ‘SigRed’ por Check Point, podría permitir que un atacante remoto no autenticado obtenga privilegios de administrador de dominio sobre servidores específicos y tome el control completo de la infraestructura de TI de una organización .

Un actor de amenazas puede explotar la vulnerabilidad SigRed enviando consultas DNS maliciosas creadas a un servidor DNS de Windows y lograr la ejecución de código arbitrario, permitiendo al hacker interceptar y manipular los correos electrónicos y el tráfico de red de los usuarios, hacer que los servicios no estén disponibles, obtener las credenciales de los usuarios y mucho más.

En un informe detallado compartido con The Hacker News, el investigador de Check Point, Sagi Tzadik, confirmó que la falla es de naturaleza wormable, lo que permite a los atacantes lanzar un ataque que puede propagarse de una computadora vulnerable a otra sin ninguna interacción humana.

«Un solo exploit puede iniciar una reacción en cadena que permita que los ataques se propaguen de una máquina vulnerable a otra sin requerir ninguna interacción humana», dijo el investigador.

«Esto significa que una sola máquina comprometida podría ser un ‘súper difusor’, permitiendo que el ataque se extienda por toda la red de la organización a los pocos minutos del primer exploit».

Después de que la empresa de seguridad cibernética revelara sus hallazgos a Microsoft de manera responsable, el fabricante de Windows preparó un parche para la vulnerabilidad y lo implementó a partir de hoy como parte de su martes de parches de julio, que también incluye actualizaciones de seguridad para otras 122 vulnerabilidades, con un total de 18 fallas en la lista tan crítico y 105 tan importante en severidad.

Microsoft dijo que no encontró evidencia que demuestre que el error ha sido explotado activamente por los atacantes, y aconsejó a los usuarios que instalen parches de inmediato.

«Windows DNS Server es un componente central de la red. Aunque actualmente no se sabe que esta vulnerabilidad se use en ataques activos, es esencial que los clientes apliquen las actualizaciones de Windows para abordar esta vulnerabilidad lo antes posible», dijo Microsoft.

Elaboración de respuestas DNS maliciosas

Al afirmar que el objetivo era identificar una vulnerabilidad que permitiría a un atacante no autenticado comprometer un entorno de dominio de Windows, los investigadores de Check Point dijeron que se centraron en el DNS de Windows, específicamente observando de cerca cómo un servidor DNS analiza una consulta entrante o una respuesta para un consulta reenviada.

Una consulta reenviada ocurre cuando un servidor DNS no puede resolver la dirección IP de un nombre de dominio determinado (por ejemplo, www.google.com), lo que hace que la consulta se reenvíe a un servidor de nombres DNS (NS) autorizado.

Para explotar esta arquitectura, SigRed implica configurar los registros de recursos NS de un dominio («deadbeef.fun») para que apunten a un servidor de nombres malicioso («ns1.41414141.club»), y consultar el dominio del servidor DNS de destino para tener este último analiza las respuestas del servidor de nombres para todas las consultas posteriores relacionadas con el dominio o sus subdominios.

Con esta configuración, un atacante puede desencadenar una falla de desbordamiento de enteros en la función que analiza las respuestas entrantes para consultas enviadas («dns.exe! SigWireRead») para enviar una respuesta DNS que contenga un registro de recursos SIG mayor de 64 KB e induzca un «Desbordamiento de búfer basado en almacenamiento dinámico controlado de aproximadamente 64 KB sobre un búfer asignado pequeño».

Dicho de otra manera; la falla apunta a la función responsable de asignar memoria para el registro de recursos («RR_AllocateEx») para generar un resultado mayor a 65,535 bytes para causar un desbordamiento de enteros que conduce a una asignación mucho menor de lo esperado.

Pero con un solo mensaje DNS limitado a 512 bytes en UDP (o 4,096 bytes si el servidor admite mecanismos de extensión) y 65,535 bytes en TCP, los investigadores descubrieron que una respuesta SIG con una firma larga por sí sola no era suficiente para desencadenar la vulnerabilidad.

Para lograr esto, el ataque aprovecha hábilmente la compresión del nombre DNS en las respuestas DNS para crear un desbordamiento del búfer utilizando la técnica mencionada anteriormente para aumentar el tamaño de la asignación en una cantidad significativa.

Explotación remota de la falla

Eso no es todo. SigRed se puede activar de forma remota a través de un navegador en escenarios limitados (por ejemplo, Internet Explorer y navegadores Microsoft Edge no basados en Chromium), lo que permite a un atacante abusar del soporte de los servidores DNS de Windows para la reutilización de conexiones y las características de canalización de consultas para «contrabandear» una consulta DNS dentro de una carga de solicitud HTTP a un servidor DNS de destino al visitar un sitio web bajo su control.

Además, el error puede explotarse aún más para filtrar las direcciones de memoria al corromper los metadatos de un registro de recursos DNS e incluso lograr capacidades de escritura en cualquier lugar, lo que permite a un adversario secuestrar el flujo de ejecución y hacer que ejecute instrucciones no deseadas.

Sorprendentemente, los clientes DNS («dnsapi.dll») no son susceptibles al mismo error, lo que lleva a los investigadores a sospechar que «Microsoft administra dos bases de código completamente diferentes para el servidor DNS y el cliente DNS, y no sincroniza parches de errores entre ellos «.

Dada la gravedad de la vulnerabilidad y las altas posibilidades de explotación activa, se recomienda que los usuarios apliquen parches a sus servidores DNS de Windows afectados para mitigar el riesgo.

Como solución temporal, la longitud máxima de un mensaje DNS (sobre TCP) se puede establecer en «0xFF00» para eliminar las posibilidades de un desbordamiento del búfer:

reg agrega «HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters» / v «TcpReceivePacketSize» / t REG_DWORD / d 0xFF00 / f
net stop DNS && net start DNS

«Una violación del servidor DNS es algo muy serio. La mayoría de las veces, coloca al atacante a solo una pulgada de la violación de toda la organización. Solo hay un puñado de estos tipos de vulnerabilidad que se han lanzado», dijo Omri Herscovici de Check Point a The Hacker. Noticias.

«Toda organización, grande o pequeña que use la infraestructura de Microsoft está en un riesgo de seguridad importante, si no se repara. El riesgo sería una violación completa de toda la red corporativa».

 

Microsoft Lanza Actualizaciones de Seguridad para Windows 10, Windows Server

Microsoft ha publicado actualizaciones de seguridad para abordar vulnerabilidades en Windows 10 y Windows Server. Estas vulnerabilidades podrían permitir que un atacante remoto tome el control de un sistema afectado.

La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) alienta a los usuarios y administradores a revisar los avisos de seguridad de Microsoft para CVE-2020-1425 y CVE-2020-1457 y aplicar las actualizaciones necesarias.

Fuente: CISA