Posible brecha de seguridad desde hace 18 años
La firma de seguridad Websense advierte de una posible amenaza persistente desde hace 18 años.
De acuerdo con el equipo del laboratorio de Websense Security, ciberatacantes podrían interceptar credenciales de usuarios. Los expertos de la firma de seguridad mencionaro que mediante ataques al usuario final es dirigido a un SMB (Mensaje de Bloqueo de Servidor, por sus siglas en inglés) controlado por la organización criminal, y autenticado por el mismo. Esta vulnerabilidad ha sido descrita como un peer-to-peer en distintas redes.
Dicha vulnerabilidad existe desde hace 18 años, menciona Websense mediante un comunicado. El ataque denominado “redirigir a SMB” es factible gracias a diferentes aplicaciones. Sin embargo, la misma compañía advierte que no es tan grave como para asignar una prioridad al problema, ya que hay otras formas más potenciales de afectar a la organización.
Websense describe que el ataque “Redirigir a SMB” es un método utilizado para enviar y autenticar a los usuarios en un servidor SMB malicioso. Así mismo permite interceptar el nombre de usuario, el dominio y el hash de la contraseña.
Entre las potenciales amenazas y las formas de verse afectado están:
Un sitio web podría redirigir a un usuario a un servidor SMB controlado por el atacante. Este sitio web podría diseminarse utilizando el vector de correo electrónico por medio de malvertising (publicidad maliciosa) o simplemente atrayendo maliciosamente al usuario final a un sitio web que lo redirigirá.
Un ataque MITM (man in the middle) podría interceptar el tráfico de usuarios y redirigirlo al servidor SMB adecuado.
Se dice que los mecanismos de actualización de numerosos productos son vulnerables (Adobe Reader, Apple QuickTime y otros) debido a que utilizan solicitudes de HTTP para acceder a las actualizaciones de software. Un ataque MITM podría interceptar y cambiar el destino de la solicitud enviándola a un servidor SMB controlado por el atacante.
Ante una potencial afectación, Websense asegura que las empresas podrían adoptar algunas prácticas comunes en temas de seguridad, pero no necesariamente para todas las empresas. Siendo:
El tráfico SMB opera a través de TCP 139 y TCP 445. Esta comunicación podría bloquearse utilizando un dispositivo como un firewall, en particular el firewall de la puerta de enlace de la red (network gateway firewall), para impedir únicamente las comunicaciones de SMB a los destinos que están fuera de la red de la empresa.
Aplicar todos los parches de software de los proveedores que correspondan a medida que están disponibles.
Alentar a los usuarios finales a utilizar contraseñas seguras para aumentar el tiempo necesario que un simple ataque de fuerza bruta descifre los algoritmos hash.