BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Remediación de vulnerabilidad de la falla WannaCry plantea preocupaciones

Entre los retrasos en los parches y los problemas de divulgación de NSA, los expertos dijeron que la corrección de vulnerabilidad para WannaCry fue mal manejada y causó más daño.

Un nuevo informe sugiere que la NSA reveló detalles de la falla EternalBlue a Microsoft, pero los expertos cuestionan cómo se manejó el proceso de corrección de vulnerabilidad y si los parches se retrasaron innecesariamente.

El tiempo de EternalBlue ha planteado preguntas a expertos porque Microsoft hizo historia al cancelar el Martes de Parches en febrero, y luego lanzó las correcciones de las fallas de EternalBlue en un boletín de Martes de Parches en marzo de 2017, alrededor de un mes antes de que Shadow Brokers desbloqueara todos los detalles del exploit EternalBlue.

Cuando los Shadow Brokers revelaron esos detalles, Microsoft afirmó que "aparte de los reporteros, ningún individuo u organización nos ha contactado en relación con los materiales liberados por los Shadow Brokers", pero también reconoció ciertos casos en los que no revelaría la fuente de una revelación.

Sin embargo, según The Washington Post, la NSA reveló los detalles del exploit EternalBlue a Microsoft en agosto de 2016. Y un análisis separado de los parches fuera de banda publicados después de WannaCry demostró que Microsoft había creado las correcciones para sistemas heredados en febrero de 2017.

Jeremiah Grossman, jefe de estrategia de seguridad de SentinelOne, sugirió que Microsoft podría haber hecho los parches para los sistemas soportados y no soportados a la vez, como parte de la corrección rutinaria de la vulnerabilidad.

"Es posible que Microsoft tuviera parches preparados para sistemas no soportados al mismo tiempo que para los sistemas soportados, porque el código entre ellos era idéntico", dijo Grossman a SearchSecurity. "Y si no, Microsoft sabía que la vulnerabilidad era remotamente explotable y que se podía atacar con un gusano, por lo que, en una abundancia de precaución, los tenían listos en caso de que algo sucediera… y sucedió". .

Jonathan Cran, vicepresidente de producto en Bugcrowd, dijo que Microsoft podría haber estado "siguiendo una política estándar en una situación no estándar [al] solo liberar parches fuera de banda para su explotación de forma silvestre".

"En el momento en que WannaCry golpeó, era demasiado tarde para cualquier persona que todavía ejecutaba XP. Microsoft debería haber sabido que esto era una vulnerabilidad afecta a atacarse con un gusano, como Blaster y Sasser a principios de 2000, y podría haber tomado medidas para liberar un parche y un asesoramiento a los clientes fuera de soporte más temprano", dijo Cran a SearchSecurity. "Aunque estos sistemas fuera de soporte son de propiedad privada, y ya no son clientes de paga, su estado afecta la salud de todos, y la política necesita ser ajustada para las vulnerabilidades que potencialmente pueden ser atacadas por gusanos".

Aviv Grafi, CTO de Votiro, dijo que al no completar la corrección de vulnerabilidades para los sistemas heredados cuando el parche estaba listo, "Microsoft decidió poner a sus usuarios en riesgo, en lugar de proporcionarles los parches de seguridad lo antes posible".

"La comunidad entiende que los sistemas no soportados no pueden recibir actualizaciones periódicas, pero en este caso Microsoft estaba muy consciente de que XP y Server 2003 estaban en uso en la mayoría de las organizaciones de infraestructura crítica, y estas son las organizaciones que están a cargo de la mayoría de los servicios públicos", comentó Grafi a SearchSecurity. "Esto claramente no es lo que se espera del líder del mercado que es responsable del 90% de los sistemas operativos en el mundo".

Microsoft no respondió a las preguntas sobre el calendario de los parches de EternalBlue, pero dijo en un comunicado: "Aquellos que están ejecutando nuestro software antivirus gratuito o tienen Windows Update habilitado están protegidos. Dado el impacto potencial para los clientes y sus negocios, también hemos publicado actualizaciones para Windows XP, Windows 8 y Windows Server 2003".

Gil Barak

Ese riesgo parece extenderse más allá de la amenaza masiva de ransomware de WannaCry. Gil Barak, CTO y cofundador de la firma de respuesta a incidentes Secdo, dijo que su firma encontró "por lo menos tres grupos diferentes" explotando el defecto de Windows Server Message Block (SMB) v1 usado en EternalBlue.

"Hemos encontrado evidencia de actores mucho más sofisticados aprovechando el exploit EternalBlue de la NSA para infectar, instalar puertas traseras y exfiltrar credenciales de usuario en redes de todo el mundo, incluyendo los Estados Unidos, tres semanas antes del ataque WannaCry", escribió Barak en un blog. "Estos ataques podrían representar un riesgo mucho mayor que el de WannaCry. Incluso si las compañías pudieran bloquear WannaCry y parchar la vulnerabilidad de SMB Windows, una puerta trasera puede persistir y las credenciales comprometidas pueden ser usadas para recuperar el acceso".

Corrección de vulnerabilidades de la NSA

Según The Washington Post, no solo la NSA reveló detalles del exploit EternalBlue a Microsoft en agosto de 2016, sino que las agencias gubernamentales y las ramas militares de los Estados Unidos comenzaron la remediación de la vulnerabilidad contra el defecto SMB en 2014.

Mounir Hahad, director de Cyphort Labs, criticó al gobierno por protegerse, pero dejando al público en riesgo.

"Es un acto de equilibrio fino desarrollar capacidades ofensivas mientras se protege nuestra propia infraestructura. Si sabemos de una vulnerabilidad, tenemos que asumir que el lado opuesto también lo sabe. Proteger el equipo gubernamental y militar contra una vulnerabilidad y dejar al resto de nosotros vulnerables es una estrategia de corto alcance: los actores amenazadores que buscan espiarnos comprometerán a los funcionarios gubernamentales y a los militares de guerra a través de sus computadoras privadas o las computadoras portátiles de sus hijos", dijo Hahad a SearchSecurity. "La divulgación de vulnerabilidades en mi opinión sigue siendo la mejor estrategia y vamos a desarrollar capacidades ofensivas utilizando otros métodos".

Denelle Dixon

Denelle Dixon, directora legal y de negocios de Mozilla, dijo que el gobierno necesita mejores políticas de divulgación, como la recientemente introducida Ley PATCH.

"El exploit de EternalBlue ha demostrado una vez más claramente los riesgos para los usuarios que pueden ocurrir cuando el gobierno retiene las vulnerabilidades de las compañías afectadas", dijo Dixon a SearchSecurity. "El gobierno necesita un proceso que asegure que los actores relevantes de todo el gobierno están alrededor de la mesa, teniendo en cuenta todos los intereses y riesgos, y con suficiente transparencia y supervisión para asegurarse de que están tomando las decisiones correctas".

Cran dijo que cualquier proceso gubernamental de remediación y divulgación de vulnerabilidades necesita tener la seguridad pública como la prioridad.

“Nuestras agencias de inteligencia deben tener capacidades para cumplir su misión sin poner en peligro al público", dijo Cran. "Tan pronto como se sospechara o se descubriera que la memoria caché estaba comprometida –de cualquier forma– debía ser revelada al proveedor para que sea atendida, de acuerdo con las normas de divulgación de la vulnerabilidad".

Próximos pasos

No olvide revisar también:

Investigadores de McAfee prueban un método de recuperación de WannaCry

¿El ransomware WannaCry impulsará su estrategia de TI hacia adelante?

Pen testing e ingeniería social, ¿sí o no?

ESET ofrece dos herramientas gratuitas para recuperar la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close