Bl0ckch41nnews"Usuarios internos malintencionados utilizan las vulnerabilidades conocidas contra sus organizaciones" [Crowdstrike]
Las fallas de elevación de privilegios son la vulnerabilidad más común
aprovechada por personas internas corporativas cuando realizan actividades no
autorizadas en las redes, ya sea con fines maliciosos o descargando
herramientas riesgosas de manera peligrosa.
Un
informe de Crowdstrike
basado en datos recopilados entre enero de 2021 y abril de 2023 muestra que
las amenazas internas están aumentando y que el uso de fallas de escalamiento
de privilegios es un componente importante de la actividad no autorizada.
Según el informe, el 55% de las amenazas internas registradas por la empresa
se basan en exploits de escalamiento de privilegios, mientras que el 45%
restante introduce riesgos sin saberlo al descargar o hacer un mal uso de
herramientas ofensivas (informes I y II).
Los empleados deshonestos suelen volverse contra su empleador
porque les han dado
incentivos financieros, por despecho o por diferencias con sus supervisores. CrowdStrike también clasifica los incidentes como amenazas internas cuando no
son ataques maliciosos contra una empresa, como el uso de exploits para
instalar software o realizar pruebas de seguridad.
Un usuario interno que aumenta sus privilegios sin autorización está abusando de su acceso y, como mínimo, está intentando eludir el Principio de Mínimo Privilegio (POLP). Según este principio, a los usuarios y procesos solo se les conceden los permisos mínimos necesarios para realizar las tareas asignadas. POLP es ampliamente considerado como una de las prácticas más efectivas para fortalecer la postura de ciberseguridad de una organización y les permite controlar y monitorear el acceso a la red y a los datos.2
Sin embargo, en estos casos, aunque no se utilizan para atacar a la empresa,
comúnmente se utilizan de manera riesgosa, introduciendo potencialmente
amenazas o malware en la red que los actores de amenazas podrían abusar.
Crowdstrike ha descubierto que los ataques lanzados desde organizaciones
objetivo cuestan un promedio de 648.000 dólares por incidentes maliciosos y
485.000 dólares por incidentes no maliciosos. Estas cifras pueden ser incluso
mayores en 2023.
Además del importante coste financiero de las amenazas internas, Crowdstrike
destaca las repercusiones indirectas de los daños a la marca y la reputación.
Un típico ataque interno
Crowdstrike explica que utilizar vulnerabilidades de escalamiento de privilegios
para obtener privilegios administrativos es fundamental para muchos ataques
internos, ya que en la mayoría de los casos, los infiltrados deshonestos
comienzan con acceso de bajo nivel a sus entornos de red.
Los privilegios más altos permiten a los atacantes realizar acciones como
descargar e instalar software no autorizado, borrar registros o incluso
diagnosticar problemas en su computadora utilizando herramientas que requieren
privilegios de administrador.
Las fallas más explotadas para la escalamiento de privilegios locales por parte de
personas internas deshonestas son las siguientes, según las observaciones de
CrowdStrike:
-
CVE-2017-0213: Una falla de Windows permite elevar privilegios mediante la
explotación de la infraestructura COM. - CVE-2022-0847 (DirtyPipe): falla en la gestión de operaciones de canalización del kernel de Linux.
- CVE-2021-4034 (PwnKit): falla de Linux que afecta el servicio del sistema Polkit.
-
CVE-2019-13272: Vulnerabilidad de Linux relacionada con el manejo inadecuado
de privilegios de usuario en procesos del kernel. - CVE-2015-1701: Error de Windows que involucra al controlador en modo kernel «win32k.sys» para la ejecución de código no autorizado.
-
CVE-2014-4113: también apunta a «win32k.sys» pero implica un método de
explotación diferente.
Las fallas anteriores ya están enumeradas en el Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, ya que históricamente han sido utilizadas
en ataques por parte de actores de amenazas.
Incluso si un sistema ha sido parcheado para estas fallas, los usuarios
internos pueden obtener privilegios elevados a través de otros medios, como
fallas de secuestro de DLL en aplicaciones que se ejecutan con privilegios
elevados, permisos de sistemas de archivos o configuraciones de servicios
inseguros, o
ataques Bring Your Own Vulnerable Driver (BYOVD).
Crowdstrike ha visto múltiples casos de explotación de CVE-2017-0213 que
afectaron a una empresa minorista en Europa, donde un empleado descargó un
exploit a través de WhatsApp para instalar uTorrent y jugar. Otro caso se
refiere a un empleado despedido de una entidad de medios en los EE. UU.
La explotación de PwnKit fue observada por un empleado de una empresa de
tecnología australiana que intentó obtener derechos administrativos para
solucionar problemas informáticos.
Un ejemplo de explotación de CVE-2015-1701 se refiere a un empleado de una
empresa de tecnología estadounidense que intentó eludir los controles
existentes para instalar una máquina virtual Java no autorizada.
Si bien casi todos estos incidentes de amenazas internas no se considerarían
ataques maliciosos, introducen riesgos al modificar la forma en que debe
ejecutarse un dispositivo o al ejecutar potencialmente programas maliciosos o
inseguros en la red.
Los errores internos introducen riesgos
Casi la mitad de los incidentes internos registrados por Crowdstrike se
refieren a percances no intencionales, como pruebas de exploits que se salen
de control, la ejecución de herramientas de seguridad ofensivas sin las
medidas de protección adecuadas y la descarga de código no examinado.
Por ejemplo, CrowdStrike dice que algunos incidentes fueron causados por
profesionales de seguridad que probaron exploits y kits de exploits
directamente en una estación de trabajo de producción en lugar de a través de
una máquina virtual segmentada del resto de la red.
Los analistas informan que la mayoría de los casos de este tipo involucran
herramientas como Metasploit Framework y ElevateKit, mientras que las
vulnerabilidades introducidas con mayor frecuencia como resultado de
actividades descuidadas son las siguientes:
-
CVE-2021-42013: Vulnerabilidad de recorrido de ruta en Apache HTTP Server
2.4.49 y 2.4.50. -
CVE-2021-4034 (PwnKit): Vulnerabilidad fuera de límites en el servicio del
sistema Polkit. -
CVE-2020-0601: Vulnerabilidad de suplantación de identidad en Windows
CryptoAPI. - CVE-2016-3309: Problema de escalamiento de privilegios en el kernel de Windows.
-
CVE-2022-21999: Vulnerabilidad de elevación de privilegios en Windows Print
Spooler.
La introducción de estas fallas en las redes corporativas puede aumentar el
riesgo de seguridad general al proporcionar a los actores de amenazas que ya
tienen un punto de apoyo en la red vectores adicionales para su explotación.
Sin embargo, lo que es aún más importante, no es raro que los actores de
amenazas creen exploits de prueba de concepto falsos o herramientas de
seguridad que instalen malware en los dispositivos.
Por ejemplo, en mayo, los actores de amenazas distribuyeron
exploits falsos de prueba de concepto de Windows
que infectaron dispositivos con la puerta trasera Cobalt Strike. En otro ataque, Rapid7 descubrió que
los actores de amenazas estaban distribuyendo PoC falsos
para exploits Zero-Day que instalaban malware en Windows y Linux.
En diciembre de 2022, Falcon Complete observó un incidente en el que un usuario interno descargaba y preparaba ElevateKit, un framework de escalamiento de privilegios comúnmente aprovechado junto con Cobalt Strike. Además de ElevateKit, el usuario también preparó Mimikatz y PowerLurk, dos herramientas que también se usan comúnmente en pruebas de penetración para volcar credenciales y establecer persistencia a través de Windows Instrumentación de Gestión (WMI).
En ambos escenarios, instalar el exploit falso en una estación de trabajo
permitiría el acceso inicial a una red corporativa, lo que podría provocar
ciberespionaje, robo de datos o ataques de ransomware.
Fuente:
BC
Los comentarios están cerrados.