logo nova
Search
logo nova

Etiqueta: ciberataque

Publicado en

Nueva Campaña de Malware llamado “ZLOADER” está infectando a miles de usuarios que utilizan Sistemas Operativos Microsoft

malware

En un reciente ataque llevado a cabo mediante campañas de phishing y el uso de emails que contenían spam, un grupo de cibercriminales está explotando la verificación de firmas digitales de Microsoft, esto con el fin de extraer credenciales de miles de usuarios que utilizan en su día a día algún Sistema Operativo propiedad de Microsoft. El grupo de cibercriminales fueron identificados con el nombre de MalSmoke, los cuales utilizan una variante del Malware Zloader.

Recordemos que el Zloader (también llamado Terdot o DELoader) fue detectado en 2015 en el sector bancario y puede robar credenciales de cuentas en línea e información confidencial.

Los cibercriminales han distribuido el malware de diversas formas, mediante él envió de emails con contenido de spam y campañas de phishing con contenido para adultos, además de experimentar con cargas útiles de ransomware.

La campaña más reciente utilizada para la propagación de este malware consistía en la entrega de un archivo infectado e identificado como “Java.msi”, este se encuentra oculto como un instalador de una herramienta de administración remota llamada Atera.

Al ejecutar este archivo aparentemente legítimo, Atera crea un agente y asigna una dirección de email al equipo infectado y este queda bajo control de los cibercriminales. Posteriormente a la ejecución del archivo, los cibercriminales obtienen acceso remoto al Sistema Operativo permitiéndoles ejecutar cualquier tipo de scripts y carga de archivos infectados. Adicionalmente a esto, los scripts incluidos en el archivo ejecutable realizan una serie de comprobaciones a nivel usuario para verificar los privilegios de administrador, agregar exclusiones a algunas carpetas, así mismo, deshabilitar herramientas como el CMD y el Administrador de Tareas.

Recomendación

La solución Tanium que está disponible en el portafolio de Nova, nos ofrece distintos módulos con los cuales robustecemos la seguridad ante cualquier tipo de ataque o malware.

Tanium ofrece:

Visibilidad: En cada equipo, administrado o no administrado, con datos completos, precisos y en tiempo real en segundos.

Control: Tomar el control desde las mismas instalaciones o desde la nube y verifique el estado de sus equipos en segundos con mínimo impacto en la red.

Velocidad: Contener, reparar o parchar incidentes que surjan día con día en cuestión de minutos y la capacidad de adoptar un enfoque proactivo para la administración de TI.

Confianza: Toda la información que necesita en una sola plataforma.

Además de estos puntos Tanium ofrece caza de amenazas, inventario y descubrimiento de activos, monitoreo de datos sensibles, gestión de riesgos, cumplimiento, parches y gestión de clientes.

Mantener tu infraestructura segura y lista para responder a cualquier campaña de malware es una tarea sencilla con Tanium.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta la fuente de esta noticia aquí.

#NovaInforma

Publicado en

3 ataques de día 0 críticos del pasado.

ataque de día 0 zero day

Hemos hablado ya en artículos como este sobre amenazas de día 0 pero el día de hoy te traemos algunos de los ataques de este tipo más sonados en el medio.

Situxnet

Sin lugar a duda, Situxnet es uno de los ejemplos más críticos cuando hablamos de ataques de día 0. Este exploit se hizo famoso de inmediato en sitios de noticias de tecnología en todo el mundo apenas fue descubierto en 2010, y es que gracias a él se explotaron vulnerabilidades en el software de Windows para atacar equipos digitales encargados de la producción de uranio enriquecido, material usado en la creación de armas nucleares.

Hasta el día de hoy no se conoce a los autores, pero todo apunta a las agencias de inteligencia de Estados Unidos e Israel, pues se cree que el objetivo del ataque era frustrar los intentos de Irán para desarrollar armas nucleares.

Felixroot

Se cree que este ataque fue llevado a cabo entre 2017 y 2018, se trató de numerosas vulnerabilidades de día 0 de Microsoft Office, Felixroot es un backdoor de espionaje que se usó contra Ucrania, accediendo a información personal de varios miembros del gobierno de este país, aunque se sospecha del gobierno ruso, nunca se supo quien fuese el autor de este ataque, a Microsoft le tomó toda una semana el desarrollar un parche que funcionara al 100%, por lo que la fuga de información fue gigantesca.

El ataque al Comité Demócrata Nacional de Estados Unidos

Este es quizá el ataque de día 0 más famoso, fue llevado a cabo en 2016, hackers rusos explotaron diversas vulnerabilidades de programas como Flash y Java para hackear al DNC, obteniendo emails probados enviados y recibidos por conocidas figuras públicas, entre estas la entonces candidata a la presidencia Hilary Clinton.

La información que se obtuvo del ataque incluía nombres de donantes del DNC y fue publicada en WikiLeaks y en DCLeaks.

Aunque estos ataques famosos tuvieron objetivos específicos, la realidad es que estas vulnerabilidades pueden aprovecharse para extorsionar organizaciones más pequeñas de todo tipo, a continuación, algunos otros ejemplos de ataques de día 0:

  • SandCat, una entidad sospechosa del estado de Uzbekistán, ha utilizado varios exploit contra países del Medio Oriente.
  • Investigadores chinos han creado un exploit conocido como CVE-2010-07-03 y los han usado en ataques dirigidos desde 2016
  • En 2017 los grupos rusos APT28 Y TURLA aprovechan varias vulnerabilidades de día cero en productos de Microsoft
  • La plataforma Zoom informó que su aplicación en Windows 7 sufrió un ataque de día cero
  • La empresa Google reportó que los ataques de días zero durante un mes son equivalentes a los últimos dígitos del año transcurrido

Cómo protegerse de estas amenazas

Como hemos mencionado en artículos anteriores lo verdaderamente peligroso de un ataque de día 0 es que se desconoce la vulnerabilidad del sistema, por lo que es complicado prevenirlos, aun así existen medidas preventivas para este tema como actualizar regularmente los endpoints de su organización, eliminar software obsoleto de sus equipos y mantener protegida su infraestructura con una estrategia de ciberseguridad por capas; hoy en día no basta con un antimalware y un firewall, se requiere una correcta gestión de los activos de su parque informático dentro y fuera de su organización, escaneos de vulnerabilidades, protección al correo y la nube, por mencionar algunos.

​Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

#NovaInforma

Publicado en

El malware que está robando contraseñas guardadas en navegadores

password steel

Al descubrirlo y analizarlo los especialistas advierten que el programa malicioso no solo afecta a las contraseñas del navegador que estés usando, sino que también puede apoderarse de la información de las tarjetas de crédito que tengas guardadas y carteras de criptomonedas.

Recientemente se alertó sobre un programa malicioso, RedLine Stealer. Lo más destacable de la amenaza es que roba fácilmente contraseñas guardadas en navegadores basados en Chromium (como Chrome, Opera o Edge) y Gecko (Mozilla Firefox y otros) y que afecta tanto a organizaciones como particulares.

El malware es especialmente peligroso ya que la función de administración de contraseñas se encuentra habilitada predeterminadamente, entonces al instalar el malware este accede a la base de datos donde se guardan los nombres y contraseñas permitiendo a los ciberdelincuentes hacer mal uso de esta información.

Este malware puede comprarse por unos 200 dólares en foros y no requiere mucha experiencia para implementarlo.

De acuerdo a informes RedLine fue detectado por primera vez en una dark web de Rusia en marzo de 2020, un usuario de nombre RedGlade filtró sus características y comenzó a distribuir el malware.

Aunque no hay manera de saber que tanto ha sido explotado este malware desde su origen, se sabe que se utilizaron correos fraudulentos para su distribución, anuncios de Google, archivos de Excel e incluso escondido como un software para edición de fotografía.

Recomendación

Como siempre en Nova creemos que la mejor forma de proteger tu información es estando informado, recomendamos estar alerta  y tener mucho cuidado con la ingeniería social manteniendo a tu equipo capacitado y listo para reaccionar ante cualquier ataque y proteger tus endpoints con soluciones como Cortex Prevent de Palo Alto Networks que protege tu información de amenazas avanzadas conocidas y desconocidas e incluso ataques de día cero sin intervención humana gracias a múltiples métodos de prevención como:

  • Machine Learning
  • Protección del Ransomware basado en comportamiento
  • Protección previa de exploits
  • Prevención de exploits basada en técnicas
  • Prevención de exploits de kernels

Gracias a estos mecanismos, se posiciona como un “Advanced Endpoint Protection” y además, por lo ligero que es el agente instalado en el Endpoint, no genera conflictos en el sistema o un excesivo consumo de recursos de computo.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Publicado en

¿Qué es la vulnerabilidad Log4j y cómo puedo protegerme?

vulnerabilidad Log4j

En días recientes, la vulnerabilidad Log4j ha causado revuelo por todo internet, debido a la relativa facilidad para los atacantes de esta vulnerabilidad. Su aprovechamiento puede generar un caos en nuestra infraestructura. Afecta a Apache Log4j, que es una biblioteca de código abierto muy utilizada por diferentes desarrolladores Java, cuyo objetivo es mantener un registro de diferentes actividades en las aplicaciones.

Esta vulnerabilidad permite introducir código activo de manera remota en el proceso de registro, el cual ejecuta un comando para darle el control al atacante. No se han detectado incidentes graves como resultado de esto, sin embargo, se ha detectado un considerable aumento de piratas informáticos que intentan aprovechar este fallo para el espionaje.

Jen Easterly, directora de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional de Estados Unidos, lo calificó como “uno de los fallos más graves” que ha visto en su carrera. Compañías del calibre de IBM, Apple, Cisco, Google y Amazon ejecutan el software, por lo que todos sus servicios, portales web y dispositivos pueden estar expuestos alrededor del mundo.

Prevención.

Es por esta razón que todos debemos prevenirnos de cualquier posible ataque con medidas de acción, como es factible con las soluciones de Palo Alto Networks, que ofrecen protección contra la explotación de este agujero de seguridad. Los Firewalls Strata de la marca o Prisma Access pueden bloquear automáticamente las sesiones relacionadas con esta vulnerabilidad mediante identificación de amenazas. Además, Log4j requiere acceso al código alojado externamente, por lo que su filtrado avanzado de URL supervisa y bloquea constantemente dominios y sitios web maliciosos nuevos, desconocidos y conocidos para bloquear esas conexiones externas inseguras.

Debido a la naturaleza de lo anteriormente expuesto, queda claro que es importante proteger nuestra infraestructura con soluciones efectivas para evitar pérdida o robo de información, pues la solución y parcheo puede tomar mucho tiempo, según informa Apache. Tomar medidas por nuestra parte es la mejor forma de protegernos.

Te invitamos a seguirnos en nuestras redes sociales Instagram, Facebook y LinkedIn para encontrar éstas y demás soluciones que NOVA ofrece para mantener tu infraestructura de red segura y libre de ciber amenazas.

Consulta las fuentes de este artículo aquí:

#NovaInforma

Publicado en

Resurge troyano bancario EMOTET

troyano Nova

Con el paso de los años, las tácticas y técnicas que se emplean para infectar máquinas con malware han ido evolucionando, los actores de amenaza cada vez emplean mejores herramientas para la distribución de todo tipo de malware, desde un virus o gusano, hasta el temido ransomware esto siempre con un fin lucrativo.

En esta ocasión, la principal novedad es el resurgimiento del troyano Emotet, el cual, después de 7 años, reaparece para infectar endpoints y servidores con la finalidad de robar información sensible de los usuarios. Este malware se propaga por medio de campañas de spam, en dichos correos vienen adjuntos documentos, archivos comprimidos y/o URLs, y por medio de ingeniería social con algún tema financiero relacionado, persuaden a los usuarios a abrir esos archivos adjuntos.

El modo en el que opera es el siguiente: un correo spam con adjuntos maliciosos llega al buzón de un usuario, éste sin tener cuidado de validar la procedencia de dicho correo, abre los adjuntos. Una vez hecho eso, se ejecuta una macro en segundo plano a través de PowerShell que descarga el malware Emotet desde un sitio web comprometido, éste se ejecuta y comienza a obtener información del usuario, del sistema, credenciales de acceso, etc. La información robada es enviada a servidores C2 (Command and Control) del atacante donde éste la utiliza con el fin de obtener un beneficio económico.

Lo que lo convierte a Emotet en una de las ciber amenazas más grandes de la historia es que emplea el modelo MaaS (Malware as a Service) para alquilar las máquinas infectada a demás grupos o actores maliciosos para infectarlas con más malware como el ransomware.

Recomendación

Afortunadamente, las soluciones de Tren Micro que ofrece NOVA como Apex One, Deep Security, Deep Discovery Inspector, etc. ya cuentan con los patrones para detectar Emotet en todas sus variantes y versiones a través de módulos como Predictive Machine Learning o Behavior Monitoring. Aunado a ello, se recomienda concientizar a los empleados a no abrir cualquier email o adjunto si no se reconoce su procedencia.

Te invitamos a seguirnos en nuestras redes sociales Instagram, Facebook y LinkedIn para encontrar éstas y demás soluciones que NOVA ofrece para mantener tu infraestructura de red segura y libre de ciber amenazas.

#NovaInforma

Publicado en

Amenazas de “Día Cero”

ciberataque día 0

A principios de mes publicamos un artículo sobre un ataque de día 0 a Windows 11, el fin de semana pasado anunciamos una alerta por la vulnerabilidad de día 0 Apache Log4j, es clara la tendencia de este tipo de ataques y notamos que nuestra audiencia tiene muchas dudas y opiniones sobre el tema, por ello en Nova decidimos dedicar algunos artículos a este tópico y presentar nuestra investigación a aquellos que la necesiten. 

¿Qué son las amenazas de día cero?

Aquellos fallos de seguridad nuevos que son explotados antes de que los proveedores de seguridad los noten, por tanto, no existe protección específica para combatirlos. Los desarrolladores descubren una amenaza de día cero únicamente después de un ataque, por ello tienen cero días de advertencia para crear un parche.

Si un hacker identifica una vulnerabilidad de software, empieza a trabajar para aprovecharla, aquí empieza una carrera, ¿podrá hacerlo antes de que los desarrolladores de software la detecten también y creen una solución?

Estos programas maliciosos aprovechan la vulnerabilidad de sistemas y aplicaciones para sus ataques hasta que se identifica y los desarrolladores crean un parche para corregir la vulnerabilidad, pero, la publicación de estos parches lleva algún tiempo y los sistemas están en peligro mientras no se apliquen estas correcciones, muchas veces incluso después de la publicación de parches, si el área de seguridad de TI no despliega los parches en su red, el riesgo sigue vigente.

¿Qué hacer para evitar este tipo de amenazas?

Se recomienda crear una estrategia de ciberseguridad robusta y mantener especial atención a las alertas de amenazas de día cero, la mejor protección se consigue desde varios puntos, algunos de los más importantes son:

Firewall: Estas soluciones funcionan como filtros para permitir solo el tráfico necesario de información, manteniendo al mínimo el peligro de amenazas

Correcta gestión del inventario de activos de TI: Es clave tener visibilidad de todo el parque informático para poder mantener actualizados los parches que los proveedores facilitan, al mismo tiempo, eliminar del sistema aplicaciones obsoletas que muchas veces son el origen de ataques.

Seguridad por capas: Implementar una estrategia integral de seguridad de la información permite tener controles definidos, el concepto de múltiples capas argumenta que es mejor colocar varias capas de defensa consecutivas en lugar de una línea única muy fuerte.

El modelo de seguridad por capas funciona de la siguiente manera:

 1. Directivas, procedimientos y concienciación

  • Orientada a las personas:
    • Políticas
    • Procedimientos
    • Campañas de concientización
    • Cultura de Seguridad Informática

2. Perímetro

  • Orientada a proteger la red interna de ataques externos:
    • Firewall
    • Data Loss Prevention (DLP)
    • Intrusion Prevention System (IPS)
    • Distributed Denial of Service (DDoS)
    • Wireless Security
    • Virtual Private Network (VPN)

3. Red Interna

  • Orientada a proteger la red interna de ataques internos:
    • Virtual LAN (VLAN)
    • Network Access Control (NAC)
    • Access Control List (ACL)
    • Secure Socket Layer (SSL)
    • Network Intrusion Detection System (NIDS)

4. Host

  • Orientada a proteger los dispositivos de la red interna:
    • Desktop Management
    • Patch Management

5. Aplicación

  • Orientada a proteger las aplicaciones:
    • Desarrollo Seguro de Aplicaciones
    • Web Application Firewall
    • Identity and Access Management (IAM)
    • Demilitarized Zone (DMZ)
    • Virtual LAN (VLAN)
    • Patch Management

6. Datos

  • Orientada a proteger los datos:
    • Data Loss Prevention (DLP)
    • Cifrado de la Información
    • Respaldo / Réplica de Información
    • Disaster Recovery Plan (DRP)
    • Data Access Audit

Aunque existen muchas opciones en cada capa, tu estrategia de ciberseguridad debe ajustarse a las necesidades de tu organización, para más información Contáctanos

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta las fuentes de este artículo aquí:

#NovaInforma

Publicado en

Vulnerabilidad de Día-0 Apache Log4j Remote Code Execution Vulnerability

alerta log4j

El 9 de diciembre de 2021, se hizo pública una vulnerabilidad crítica de día-0 que afecta a múltiples versiones de una biblioteca de registro Apache Log4j 2 comúnmente usada en aplicaciones Web, y que al ser explotada, podría resultar en la ejecución remota de código (RCE), Como toda vulnerabilidad expuesta de ejecución remota de código, puede estar ligada a diversos ataques de diversos tipos como coinminers, cryptojacking y también podría resultar en ataques de ransomware.

A esta vulnerabilidad se le identifica como CVE-2021-44228 y también se le conoce en el medio como “Log4Shell”.

Las versiones de la biblioteca afectadas son las versiones de Apache Log4j 2.x menores o iguales a 2.15.0-rc1

Software Afectado

Un número significativo de aplicaciones basadas en Java utilizan log4j como su utilidad de registro y son vulnerables a este CVE. Se tiene conocimiento que al menos el siguiente software puede verse afectado:

  • Apache Struts
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • ElasticSearch
  • Flume
  • Apache Dubbo
  • Logstash
  • Kafka
  • Spring-Boot-starter-log4j2

Fabricantes como Trend Micro y Palo Alto Networks han publicado las reglas para su actualización automáticas principalmente del módulo IPS que pueden contener y otros módulos que pueden registrar esta clase de ataques para fines de detección y respuesta.

Reglas Trend Micro Cloud One – Workload Security and Deep Security IPS

  • Rule 1011242 – Log4j Remote Code Execution Vulnerability (CVE-2021-44228)
  • Rule 1005177 – Restrict Java Bytecode File (Jar/Class) Download
  • Rule 1008610 – Block Object-Graph Navigation Language (OGNL) Expressions Initiation In Apache Struts HTTP Request

https://success.trendmicro.com/solution/000289940

Los firewalls con una suscripción de seguridad de Prevención de amenazas pueden bloquear automáticamente las sesiones relacionadas con esta vulnerabilidad mediante el ID de amenaza 91991 (lanzado inicialmente con la actualización de contenido de aplicaciones y amenazas versión 8498 y mejorado con la versión 8499).

https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#AlertaDeSeguridad #Nova

Publicado en

Panasonic reconoce ser víctima de un hackeo desde hace casi medio año.

hacker attack

Actualmente la empresa se encuentra en investigaciones para saber si los datos robados han sido expuestos y tratar de descubrir a los autores del ciberataque.

La situación

Panasonic ha admitido recientemente que su red corporativa fue comprometida por un acceso no autorizado en noviembre, sin embargo, aunque el comunicado fue publicado el 11 de noviembre, el ataque existe desde el 22 de junio, por aproximadamente 5 meses los atacantes pudieron acceder a los datos de sus servidores.

Aunque ya se han tomado cartas en el asunto y la empresa implementó medidas de seguridad para evitar el acceso externo a su red, todavía no hay un estimado real de qué tanta información fue robada.

Panasonic está trabajando con expertos en ciberseguridad para investigar si la brecha de información expuso a consumidores, datos personales o información sobre infraestructuras sociales.

La empresa también está llevando a cabo una investigación interna para intentar descubrir a quienes han sido los autores del ataque.

La empresa ha expresado una disculpa por los inconvenientes que pudiesen suscitarse tras este incidente de seguridad.

Aun así, no podemos pasar por alto que la empresa había sufrido un ciberataque de Ransomware hace menos de un año. En el se filtró información personal, financiera y direcciones de correo electrónico. Es posible que el acceso ilegal a la red sea consecuencia de este ataque.

Recomendación:

Para evitar ataques de cualquier tipo, incluyendo el ransomware lo más importante es contar con una estrategia de ciberseguridad preventiva, de esta forma minimizamos el impacto en nuestra infraestructura, debemos tener visibilidad de todo el parque informático, así como planes de acción para reaccionar en caso de un ataque, la forma de prevenir incidencias es manteniendo los equipos siempre actualizados.

Herramientas como Proactivanet pueden ayudar a las organizaciones a conocer por completo toda su infraestructura y el estado de sus equipos, cuales tienen antivirus, monitoreo de sus parches de seguridad y otras cuestiones clave para mantener una infraestructura segura.

Contáctanos si necesitas más información.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta las fuentes de este artículo aquí:

#NovaInforma

Publicado en

La protección contra ciberataques de las grandes empresas es insuficiente.

ciberseguridad

Informes publicados por empresas multinacionales de consultoría estratégica, revelan que todavía existen usuarios corporativos que no han implementado medidas de protección para sus datos y son muy pocos los que cuentan con un sistema de defensa en capas.

La mayoría de las empresas creen que sus infraestructuras son seguras, aunque los datos revelan que los ciberataques siguen aumentando año con año, en 2020 el número de ciberataques creció un 31% en comparación al año anterior y se proyecta que en 2021 sea aún más grande.

Los datos también indican que para el 81% de los directivos el costo de prevención de ataques cibernéticos es muy alto, pero al mismo tiempo el 82% de los directivos encuestados han aumentado sus presupuestos para ciberseguridad.

La situación

Los datos fueron obtenidos de más de 4500 directores ejecutivos abarcando 23 industrias de 18 países, la realidad es que más de la mitad de las grandes empresas no están preparadas para prevenir ciberataques, no cuentan con protección adecuada en su infraestructura y la velocidad en que pueden detectar y eliminar vulnerabilidades es muy lenta.

Recomendación

Para evitar ser víctima de ataques cibernéticos recomendamos contar con profesionales adecuados y crear una estrategia de ciberseguridad que incluya tecnologías que garanticen la seguridad de los datos por capas, teniendo en cuenta también la nube, ya que existen herramientas que no solo protegen la información, sino que también pueden ayudarte a reducir costos en seguridad y facilitar la operación de tu infraestructura.
Si estás interesado en el tema contáctanos, podemos apoyarte en la definición de esa estrategia.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta las fuentes de este artículo aquí:

#NovaInforma

Publicado en

El primer ciberataque a Windows 11 pone en peligro el resto de versiones del SO

ciberataque windows 11

La nueva versión del famoso sistema operativo ha traído consigo un ciberataque que podría afectar a todas las versiones anteriores de windows

Características del ataque

Otorga a los hackers privilegios de administrador en todas las versiones del sistema operativo de windows

Se trata de un problema de seguridad que permite atacar sistemas, lo peligroso es que el ataque está catalogado como “Zero Day” significa que fue descubierto por los criminales antes que por los mismos desarrolladores y está siendo explotado, de momento no hay una solución de parte de Microsoft.

Detalles del exploit

Consiste en una prueba de concepto, algunos especialistas creen que con algunos ajustes podrían llevarse a cabo ataques de mayor alcance, aunque de momento el volumen es bajo, también se detectaron muestras recientes de malware en donde se identificó que ya se está intentando aprovechar el error por personas que trabajan el código de prueba de concepto con el fin de aprovecharlo en campañas futuras.

Esta vulnerabilidad aprovecha un error de Windows Intaller “CVE-2021-41379” y podría poner en riesgo a millones de sistemas si se propaga, aunque Microsoft calificó la vulnerabilidad como de gravedad media argumentando que no se trata de un exploit remoto y que es difícil su propagación ya que se requiere acceso físico a los dispositivos para aprovecharlo.

Recomendación

Es muy difícil protegerse de los ataques de día 0 ya que no existen parches para ellos, sin embargo, es posible tomar medidas para prevenir y mitigar este tipo de ataques de su infraestructura, con Tanium puede detectar ataques de día 0 en aplicaciones instaladas con informes de proveedores, así como tener visibilidad para encontrar señales resultantes de un ataque o intento de ataque de día 0.

También puede tomar medidas con los diferentes módulos según el caso, por ejemplo:

  • Comply puede ayudar a identificar dónde existen vulnerabilidades una vez conocidas.
  • Una vez que haya un parche disponible, Tanium Patch puede ayudarlo a desplegar el parche en todo su parque informático rápida y eficazmente.
  • Tanium Deploy puede eliminar versiones vulnerables o actualizar aplicaciones a una versión no vulnerable.

Si quieres saber más de TANIUM contáctanos.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta la fuente de este artículo aquí.

#NovaInforma