Segmente la red para reducir el acceso no autorizado

Con la pandemia, las empresas necesitan que su tecnología sea accesible desde cualquier lugar. Sin embargo, debido a las numerosas vulnerabilidades de seguridad, es posible que no tenga mucho sentido exponer todos sus recursos a Internet. A pesar de todo, las empresas o instituciones educativas han optado por asignar direcciones IP públicas a todos sus equipos y periféricos. Sin embargo, a menudo sucede que las redes se abren accidentalmente a los atacantes. La segmentación de la red ayuda a mitigar los riesgos asociados con estas puertas abiertas involuntariamente. Pero, antes de abordar este tema, algunos ejemplos recientes nos permiten comprender mejor cómo los atacantes logran comprometer una red completa.

Bad Neighbor usa la administración de Windows de paquetes RA

En octubre pasado, Microsoft lanzó una actualización de seguridad para abordar una vulnerabilidad relacionada con el manejo inadecuado de los mensajes de Anuncio de enrutador (RAM) ICMPv6 o de Anuncio de enrutador (RA) por parte de la pila TCP / IP de Windows. Llamada "Mal vecino", la vulnerabilidad a la que se hace referencia CVE-2020-16898 afectó a todas las versiones de Windows 10 y Windows Server 2016 y 2019. Esta vulnerabilidad no necesariamente exponía la red a un ataque remoto directo, sino a un ataque mixto. comenzando con una campaña de phishing, luego inyectando malware en la estación de trabajo a través de un señuelo y finalmente conduciendo al acceso a la red. La prueba de concepto desencadena pantallas azules de la muerte, pero no el control remoto completo. El problema subyacente se debe al manejo inadecuado de los mensajes publicitarios del enrutador, que a su vez está relacionado con el Protocolo de descubrimiento de vecinos. Un pirata informático remoto puede realizar el ataque sin autenticación, pero no fácilmente. Como se indica en una prueba de concepto, "para lograr la ejecución remota de código, el atacante debe pasar por alto la protección de la pila de cookies y también debe conocer el estado de la memoria del kernel de la máquina de destino, lo que significa que es probable que el error sea asociado con una vulnerabilidad de divulgación de memoria adicional ”.

Algunos han recomendado deshabilitar IPv6 para mitigar este ataque, pero como recomienda el programa Internet Storm Center del SANS Technology Institute (SANS ISC), es mejor no deshabilitar IPv6 a menos que conozca el impacto. con seguridad. Si no puede aplicar un parche, será mejor que desactive la función específica. Para hacer esto, use el siguiente comando:

netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = deshabilitar.

Para determinar el número de interfaz, escriba el comando impresión de la carretera en una línea de comando elevada. Esto enumerará las interfaces en sus direcciones IP como se muestra a continuación.

Luego escribe el comando:

netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = deshabilitar

Inserte el número de interfaz que se muestra arriba (aquí, 7) en el orden que se muestra en la captura de pantalla a continuación.

Tan pronto como esté listo para implementar el parche, deshaga la solución escribiendo el comando:

netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = enable

La vulnerabilidad de SharePoint permite la ejecución remota de código

El segundo parche de seguridad es tan importante para una empresa, si no más. La vulnerabilidad a la que se hace referencia CVE-2020-16952 afecta a SharePoint 2013, 2016 y 2019 cuando un atacante / usuario descarga un paquete de aplicación de SharePoint especialmente diseñado en una versión afectada de SharePoint. El software no verifica el código fuente de un paquete de aplicación y luego permite la ejecución remota de código (RCE). Como se indica en la prueba de concepto, “un atacante autenticado puede crear páginas para activar una inclusión del lado del servidor (Inclusión del lado del servidor, SSI) que se puede utilizar para divulgar el archivo web.config. El atacante puede aprovecharlo para ejecutar código de forma remota ”.

Si SharePoint está configurado para que un usuario de SharePoint sin privilegios pueda descargar archivos, si tiene, por ejemplo, el permiso AddAndCustomizePages - Los usuarios no autenticados pueden activar este RCE si sus implementaciones de SharePoint tienen permisos menos estrictos que los recomendados. Los permisos normales para usuarios autenticados le permiten crear páginas y permitir la filtración de un archivo arbitrario, incluido el archivo web.config de la aplicación. Los atacantes pueden usar este archivo para activar la ejecución remota de código a través de la deserialización .NET, como señala AttackerKB. Muchos servidores están expuestos a Internet y podrían estar expuestos a ataques.

Las ventajas de la segmentación de la red

Estas dos vulnerabilidades resaltan los riesgos de exposición según la configuración de su red. Aunque en estos dos ejemplos el remedio inmediato es aplicar las correcciones correctas, es importante verificar el acceso y la configuración de su red. Al configurar una computadora, servidor, servicio en la nube u otro recurso al que potencialmente se pueda acceder desde Internet, intente evaluar las precauciones y los recursos adicionales que podría necesitar para proteger el acceso. Con demasiada frecuencia, las reglas de firewall de la política de grupo se configuran para permitir el acceso y no están restringidas específicamente a una red o grupo.

La segmentación de la red ha sido probada durante muchos años y puede considerarse una buena práctica fundamental. El concepto detrás de la segmentación de la red es garantizar que la red esté compartimentada según el tipo de información, la sensibilidad de los procesos de información y dónde se almacenan los datos. Ya sea que esté protegiendo máquinas o servidores físicos o virtuales, o incluso recursos en la nube, observe de cerca cómo están configurados sus recursos y sepa quién y qué tiene acceso a ellos.

Estas mejores prácticas pueden ayudarlo a proteger sus recursos internos:

- Escanee la red con regularidad para asegurarse de que solo los dispositivos autorizados estén conectados.

- Limite los dispositivos que están en la misma subred a solo los dispositivos requeridos o autorizados.

- Cuando crea zonas desmilitarizadas (DMZ), configure el registro y la supervisión para mantener la información del encabezado y la carga útil atravesando los límites de la red y envíe la información a un sistema de registro.

- Utilice redes de área local virtuales (VLAN) para aislar tipos de información y procesamiento que tengan diferentes requisitos de protección con filtrado de firewall para garantizar que solo las personas autorizadas puedan comunicarse con los sistemas necesarios para cumplir con sus responsabilidades específicas.

- Hacer un inventario de los activos tecnológicos que se conectan a la red, incluida una lista de dispositivos y direcciones IP. Este inventario debe incluir todos los sistemas de la red. Entre los dispositivos con una dirección IP que se conectan a su red, puede haber dispositivos IoT, impresoras, móviles y, con el trabajo desde casa convirtiéndose en los nuevos dispositivos domésticos normales, que se han conectado involuntariamente.

Segmenta la red para probar un parche

Analice el impacto de las actualizaciones de octubre en su red. Si necesita aplicar una solución de inmediato, intente ver si puede segmentar su red para ahorrar tiempo. Asegúrese siempre de que las estaciones de trabajo y los servidores no estén expuestos directamente a Internet sin alguna protección. Verifique la configuración de sus servidores de SharePoint y cómo se implementan. Esta no será la última vez que se detecte una vulnerabilidad de RCE en los servidores de SharePoint. Compruebe cómo ha implementado sus servidores y si puede protegerlos mejor con SSL VPN u otras opciones. Es posible que descubra que existen formas mucho mejores de implementar recursos y protegerlos.