Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
-
▼
diciembre
(Total:
72
)
- Confirman robo del código fuente de Grand Theft Au...
- Apple quiere entrenar su inteligencia artificial c...
- Top 10 de vulnerabilidades críticas en aplicacione...
- Otra cadena de vulnerabilidades en Outlook permite...
- España analiza los niveles de radiación del iPhone...
- Peugeot usaba la Game Boy para realizar los diagnó...
- CVE-2023-35628: vulnerabilidad silenciosa por e-ma...
- OpenAI define las estrategias para evitar que la i...
- Zorin OS 17, la distribución de Linux que se ve co...
- ¿Comprar un HDD o un SSD? SSD siempre, menos para NAS
- Hyperloop One cierra: la utopía de Elon Musk desap...
- ¿Qué es el UPnP del router? y Tipos de NAT en Cons...
- Detenidos 5 ciberdelincuentes por estafar mediante...
- Condenan al autista por filtrar GTA VI: permanecer...
- Cae una red en España que ha estafado al menos 190...
- Synology - Conocimientos básicos del cifrado en DS...
- Diferentes tipos de velocidades WiFi: canales y ba...
- Retirado el mayor conjunto de datos de imágenes de...
- Galaxy S24: filtradas todas sus características y ...
- Inaugurado el superordenador MareNostrum 5, uno de...
- Tesla culpó a sus usuarios de fallos de fabricación
- Stable Diffusion y otras IA generativas se entrena...
- El FBI desmantela el ransomware BlackCat y obtiene...
- Comparativa de rendimiento velocidad red: 10 Gbe v...
- La Universidad de Buenos Aires (UBA) víctima de un...
- OpenAI se ha convertido en la compañía más importa...
- Google pagará 700 millones de dólares para aparcar...
- ¿Qué es ZFS? ¿Qué ventajas tiene sobre otros siste...
- MongoDB confirma que datos de clientes quedaron ex...
- La Comisión Europea abre expediente a Twitter por ...
- Sistema pionero español para que los menores no ac...
- OpenAI suspende la cuenta de ByteDance (TikTok) po...
- Tutorial Apache modsecurity (WAF)
- Twitch permite más contenido sexual
- Google Imagen 2, la inteligencia artificial para c...
- Dropbox comparte tus archivos con OpenAI sin que t...
- El fabricante de chips NXP fue hackeado en 2017 y ...
- El BSC presenta Sargantana, la nueva generación de...
- Apple impedirá que un ladrón pueda usar un iPhone ...
- El Gobierno Español propone restringir el uso de l...
- Utilizan Google Forms en ataques de Phishing
- Si tu PC Windows se ‘congela’, revisa el antivirus...
- E3: la feria más importante de los videojuegos mue...
- Insomniac Games hackeado por el ransomware Rhysida...
- El despilfarro de la IA: se necesitan dos centrale...
- Optimus Gen 2, el nuevo robot humanoide de Elon Mu...
- Vulnerabilidad crítica en plugin de WordPress Back...
- Europa quiere normas para combatir la adicción a l...
- Microsoft presenta Phi-2, una inteligencia artific...
- Paquetes con malware en proyectos del repositorio ...
- DNS0: El DNS público europeo que hace Internet más...
- ¿Qué diferencia hay entre un disco duro WD Red Plu...
- Linux tendrá su propia pantalla de la muerte azul ...
- El ordenador con más malware del mundo: 'Most Infe...
- Configurar el firewall de Windows
- Apple publica actualizaciones de seguridad para pa...
- El estándar Wi-Fi 7, a punto de ser aprobado: lleg...
- Epic Games gana a Google el juicio antimonopolio c...
- En la mitad de los casos las instrusiones se produ...
- La UE aprueba la primera Ley de Inteligencia Artif...
- Cómo la IA puede ayudar a los equipos de seguridad
- LogoFAIL: ataque al firmware, que afecta a Windows...
- Lo más buscado en Google en 2023
- La NASA se dedicó a drogar arañas para comprobar l...
- Kelvinsecurity: detenido el líder de uno de los gr...
- El navegador Brave lanza Leo, su IA tipo ChatGPT q...
- FirewallD viniendo de iptables
- Google retrasa el lanzamiento de Gemini, su respue...
- Vulnerabilidades críticas en UEFI: LogoFAIL expone...
- Bloquear LOLbins con el firewall de Windows
- Fases fundamentales de un análisis forense digital
- Tiny11, la versión ligera de Windows 11
- ► septiembre (Total: 65 )
-
▼
diciembre
(Total:
72
)
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
En la mitad de los casos las instrusiones se producen mediante empleados internos que utilizan vulnerabilidades conocidas contra sus empresas
Las fallas de elevación de privilegios son la vulnerabilidad más común aprovechada por personas internas corporativas cuando realizan actividades no autorizadas en las redes, ya sea con fines maliciosos o descargando herramientas riesgosas de manera peligrosa.
Un informe de Crowdstrike basado en datos recopilados entre enero de 2021 y abril de 2023 muestra que las amenazas internas están aumentando y que el uso de fallas de escalamiento de privilegios es un componente importante de la actividad no autorizada.
Según el informe, el 55% de las amenazas internas registradas por la empresa se basan en exploits de escalamiento de privilegios, mientras que el 45% restante introduce riesgos sin saberlo al descargar o hacer un mal uso de herramientas ofensivas (informes I y II).
Los empleados deshonestos suelen volverse contra su empleador porque les han dado incentivos financieros, por despecho o por diferencias con sus supervisores. CrowdStrike también clasifica los incidentes como amenazas internas cuando no son ataques maliciosos contra una empresa, como el uso de exploits para instalar software o realizar pruebas de seguridad.
Un usuario interno que aumenta sus privilegios sin autorización está abusando de su acceso y, como mínimo, está intentando eludir el Principio de Mínimo Privilegio (POLP). Según este principio, a los usuarios y procesos solo se les conceden los permisos mínimos necesarios para realizar las tareas asignadas. POLP es ampliamente considerado como una de las prácticas más efectivas para fortalecer la postura de ciberseguridad de una organización y les permite controlar y monitorear el acceso a la red y a los datos.2
Sin embargo, en estos casos, aunque no se utilizan para atacar a la empresa, comúnmente se utilizan de manera riesgosa, introduciendo potencialmente amenazas o malware en la red que los actores de amenazas podrían abusar.
Crowdstrike ha descubierto que los ataques lanzados desde organizaciones objetivo cuestan un promedio de 648.000 dólares por incidentes maliciosos y 485.000 dólares por incidentes no maliciosos. Estas cifras pueden ser incluso mayores en 2023.
Además del importante coste financiero de las amenazas internas, Crowdstrike destaca las repercusiones indirectas de los daños a la marca y la reputación.
Un típico ataque interno
Crowdstrike explica que utilizar vulnerabilidades de escalamiento de privilegios para obtener privilegios administrativos es fundamental para muchos ataques internos, ya que en la mayoría de los casos, los infiltrados deshonestos comienzan con acceso de bajo nivel a sus entornos de red.
Los privilegios más altos permiten a los atacantes realizar acciones como descargar e instalar software no autorizado, borrar registros o incluso diagnosticar problemas en su computadora utilizando herramientas que requieren privilegios de administrador.
Las fallas más explotadas para la escalamiento de privilegios locales por parte de personas internas deshonestas son las siguientes, según las observaciones de CrowdStrike:
- CVE-2017-0213: Una falla de Windows permite elevar privilegios mediante la explotación de la infraestructura COM.
- CVE-2022-0847 (DirtyPipe): falla en la gestión de operaciones de canalización del kernel de Linux.
- CVE-2021-4034 (PwnKit): falla de Linux que afecta el servicio del sistema Polkit.
- CVE-2019-13272: Vulnerabilidad de Linux relacionada con el manejo inadecuado de privilegios de usuario en procesos del kernel.
- CVE-2015-1701: Error de Windows que involucra al controlador en modo kernel "win32k.sys" para la ejecución de código no autorizado.
- CVE-2014-4113: también apunta a "win32k.sys" pero implica un método de explotación diferente.
Las fallas anteriores ya están enumeradas en el Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, ya que históricamente han sido utilizadas en ataques por parte de actores de amenazas.
Incluso si un sistema ha sido parcheado para estas fallas, los usuarios internos pueden obtener privilegios elevados a través de otros medios, como fallas de secuestro de DLL en aplicaciones que se ejecutan con privilegios elevados, permisos de sistemas de archivos o configuraciones de servicios inseguros, o ataques Bring Your Own Vulnerable Driver (BYOVD).
Crowdstrike ha visto múltiples casos de explotación de CVE-2017-0213 que afectaron a una empresa minorista en Europa, donde un empleado descargó un exploit a través de WhatsApp para instalar uTorrent y jugar. Otro caso se refiere a un empleado despedido de una entidad de medios en los EE. UU.
La explotación de PwnKit fue observada por un empleado de una empresa de tecnología australiana que intentó obtener derechos administrativos para solucionar problemas informáticos.
Un ejemplo de explotación de CVE-2015-1701 se refiere a un empleado de una empresa de tecnología estadounidense que intentó eludir los controles existentes para instalar una máquina virtual Java no autorizada.
Si bien casi todos estos incidentes de amenazas internas no se considerarían ataques maliciosos, introducen riesgos al modificar la forma en que debe ejecutarse un dispositivo o al ejecutar potencialmente programas maliciosos o inseguros en la red.
Los errores internos introducen riesgos
Casi la mitad de los incidentes internos registrados por Crowdstrike se refieren a percances no intencionales, como pruebas de exploits que se salen de control, la ejecución de herramientas de seguridad ofensivas sin las medidas de protección adecuadas y la descarga de código no examinado.
Por ejemplo, CrowdStrike dice que algunos incidentes fueron causados por profesionales de seguridad que probaron exploits y kits de exploits directamente en una estación de trabajo de producción en lugar de a través de una máquina virtual segmentada del resto de la red.
Los analistas informan que la mayoría de los casos de este tipo involucran herramientas como Metasploit Framework y ElevateKit, mientras que las vulnerabilidades introducidas con mayor frecuencia como resultado de actividades descuidadas son las siguientes:
- CVE-2021-42013: Vulnerabilidad de recorrido de ruta en Apache HTTP Server 2.4.49 y 2.4.50.
- CVE-2021-4034 (PwnKit): Vulnerabilidad fuera de límites en el servicio del sistema Polkit.
- CVE-2020-0601: Vulnerabilidad de suplantación de identidad en Windows CryptoAPI.
- CVE-2016-3309: Problema de escalamiento de privilegios en el kernel de Windows.
- CVE-2022-21999: Vulnerabilidad de elevación de privilegios en Windows Print Spooler.
La introducción de estas fallas en las redes corporativas puede aumentar el riesgo de seguridad general al proporcionar a los actores de amenazas que ya tienen un punto de apoyo en la red vectores adicionales para su explotación.
Sin embargo, lo que es aún más importante, no es raro que los actores de amenazas creen exploits de prueba de concepto falsos o herramientas de seguridad que instalen malware en los dispositivos.
Por ejemplo, en mayo, los actores de amenazas distribuyeron exploits falsos de prueba de concepto de Windows que infectaron dispositivos con la puerta trasera Cobalt Strike. En otro ataque, Rapid7 descubrió que los actores de amenazas estaban distribuyendo PoC falsos para exploits Zero-Day que instalaban malware en Windows y Linux.
En diciembre de 2022, Falcon Complete observó un incidente en el que un usuario interno descargaba y preparaba ElevateKit, un framework de escalamiento de privilegios comúnmente aprovechado junto con Cobalt Strike. Además de ElevateKit, el usuario también preparó Mimikatz y PowerLurk, dos herramientas que también se usan comúnmente en pruebas de penetración para volcar credenciales y establecer persistencia a través de Windows Instrumentación de Gestión (WMI).
En ambos escenarios, instalar el exploit falso en una estación de trabajo permitiría el acceso inicial a una red corporativa, lo que podría provocar ciberespionaje, robo de datos o ataques de ransomware.
Fuente: BC
Vía:
https://blog.segu-info.com.ar/2023/12/usuarios-internos-malintencionados.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.