Chris Roberts

La semana pasada saltó la noticia de que un sofisticado adversario penetró en la red de FireEye y robó las herramientas de evaluación Red Team de la empresa.Al parecer, el ataque está relacionado con unasalto a la cadena de suministroque afectó a organizaciones gubernamentales, de consultoría, tecnología y telecomunicaciones de Norteamérica, Europa, Asia y Oriente Medio.

Para hacerse una idea de lo que es capaz este conjunto de herramientas robadas, puede consultar lalista priorizada de CVEs que FireEye recomienda a las organizaciones abordar inmediatamente-en esencia, la lista de vulnerabilidades conocidas que FireEye (y ahora cualquier adversario con sus herramientas) puede aprovechar fácilmente. Según la lista, todo, desde Citrix a Terminal Services, pasando por Microsoft Exchange, Windows Endpoint y Microsoft Outlook, está en peligro. Particularmente alarmante, cerca de la parte superiorde la lista de prioridades es una vulnerabilidad NETLOGON que resulta en una escalada de privilegios de Microsoft Active Directory que da al atacante acceso de administrador de dominio. Si un atacante utiliza esta vulnerabilidad en particular, dada la naturaleza de Active Directory, el privilegio obtenido podría facilitar el acceso a cualquier cosa en su red.

Según los informes, el adversario comprometió FireEye entre otros objetivos como el Tesoro de EE.UU. y el Departamento de Comercio, con "troyanizado"de SolarWinds, un proveedor de tecnología que ayuda al gobierno federal y a las empresas de Fortune 500 a supervisar la salud de sus redes informáticas. Las actualizaciones distribuían malware que FireEye bautizó como SUNBURST. Este último ataque a la cadena de suministro ha conmocionado a la comunidad informática, y con razón si se tiene en cuenta la gran base de clientes de SolarWinds.En documentos de la SEC presentados el 14 de diciembre,SolarWinds dijoque 18.000 clienteshan instalado la actualización con malware.La historia sigue su curso y aún se desconoce el alcance de los daños.

En unaAl Jazeeraesa misma mañana, Richard Stiennon, analista jefe de investigación de IT-Harvest, comparó el ataque a la cadena de suministro con NotPetya, que se propagó de forma similar haciéndose pasar por una actualización de software legítima.NotPetya es fácilmente el ciberataque más destructivo hasta la fecha, causando10.000 millones de dólares en daños totalesen 2017, según funcionarios de la Casa Blanca. Al igual que muchas empresas de alto perfil afectadas por NotPetya, la mayor empresa de transporte marítimo del mundo, Maersk,pasó más de una semanarecuperando manualmente su Active Directory.


 

 

Active Directory está en el punto de mira de los atacantes

En primer lugar, la industria está de acuerdo en que FireEye ha respondido muy bien al incidente siendo extremadamente transparente sobre el robo deherramientas de Red Teamque contienen secuencias de comandos personalizadas, algunas herramientas de pirateo disponibles públicamente y otras desarrolladas a medida.

Según FireEye, no hay exploits de día cero en las herramientas, por lo que cada CVE mencionado tiene parches disponibles. Pero eso no garantiza que todos los sistemas, aplicaciones y plataformas afectados por la lista estén actualizados. Tome nota de la lista y asegúrese de que su entorno está actualizado.

De esta historia se pueden extraer algunas lecciones proactivas:

1. Los ciberataques aprovechan cada vez más las debilidades de la cadena de suministro como método eficaz de distribución de malware para lograr un impacto generalizado.

2. Los malos van más allá de las campañas de "rociar y rezar" y empiezan a ser extremadamente selectivos, atacando a los buenos y aprovechándose de cualquier propiedad intelectual (en este caso, herramientas internas de pirateo) para tomar la delantera.

3. Si una organización como FireEye, centrada exclusivamente en la ciberseguridad, no está completamente a salvo de los ataques, su organización tampoco lo está.

4. Los sofisticados conjuntos de herramientas automatizadas pueden llegar fácilmente a manos de un atacante novato, convirtiéndolo en un adversario tan peligroso como alguien con años de experiencia en equipos rojos.

5. Windows y Active Directory son objetivos clave de los ciberataques modernos. La naturaleza centralizada del acceso que se pone a disposición de las cuentas de usuario con privilegios elevados convierte a Active Directory en el foco perfecto para los ciberataques. Por lo tanto, las organizaciones deben mantener un ojo vigilante sobre los cambios realizados en Active Directory, incluso poner en marcha medidas para supervisar continuamente los indicadores de exposición, evitar cambios que elevarían aún más el acceso a otras partes de su entorno, y estar preparados para recuperarse de ransomware y otros ataques a la integridad de los datos.  

Aunque el ataque de FireEye no representa el lanzamiento de herramientas o exploits nunca vistos, sí pone de relieve la importancia de mantener su entorno parcheado contra vulnerabilidades conocidas, y el papel crítico que desempeña Active Directory en los ciberataques actuales.Como guardián de aplicaciones y datos críticos, Active Directory se ha convertido en el principal objetivo de los ataques generalizados que han paralizado a las empresas en los últimos años.Al comprender en qué se centran los malos, debería intentar modificar su estrategia de seguridad para reforzar su postura protectora en torno a aquellas partes del entorno que son valiosas para los atacantes.

Dada la envergadura del ataque a la cadena de suministro de SolarWinds y las posteriores violaciones de organismos gubernamentales y empresas de alto perfil, es probable que veamos a más víctimas hacer revelaciones en los próximos días.Si tiene alguna pregunta sobre cómo proteger su Active Directory frente a la lista de vulnerabilidades publicada por FireEye o frente a cualquier otro ataque, no dude enponerse en contacto concon la gente de Semperis.