Microsoft anunció recientemente que los atacantes de SolarWinds habían visto su código fuente de Windows. (Normalmente, solo los clientes clave del gobierno y los socios de confianza tendrían este nivel de acceso a las «cosas» de las que está hecho Windows). Los atacantes pudieron leer, pero no modificar, la salsa secreta del software, lo que generó preguntas y preocupaciones entre los clientes de Microsoft. Quizás significó que los atacantes podrían inyectar procesos de puerta trasera en los procesos de actualización de Microsoft.
Primero, algunos antecedentes sobre el ataque SolarWinds, también llamado Solorigate: un atacante ingresó a una compañía de herramientas de monitoreo / administración remota y pudo conectarse al proceso de desarrollo y crear una puerta trasera. Cuando el software se actualizó mediante los procesos de actualización normales establecidos por SolarWinds, el software con puerta trasera se implementó en los sistemas de los clientes, incluidas muchas agencias gubernamentales de EE. UU. Luego, el atacante pudo espiar silenciosamente varias actividades de estos clientes.
Una de las técnicas del atacante fue falsificar tokens de autenticación para que el sistema de dominio pensara que estaba obteniendo credenciales de usuario legítimas cuando, de hecho, las credenciales eran falsas. El Lenguaje de marcado de aserción de seguridad (SAML) se utiliza regularmente para transferir credenciales de forma segura entre sistemas. Y aunque este proceso de inicio de sesión único puede proporcionar seguridad adicional a las aplicaciones, como se muestra aquí, puede permitir a los atacantes obtener acceso a un sistema. El proceso de ataque, denominado vector de ataque «Golden SAML», «requiere que los atacantes primero obtengan acceso administrativo al servidor de Servicios de federación de Active Directory (AD FS) de una organización y roben la clave privada necesaria y el certificado de firma». . Esto permitió el acceso continuo a esta credencial hasta que la clave privada de AD FS fuera invalidada y reemplazada.
Actualmente se sabe que los atacantes estuvieron en el software actualizado entre marzo y junio de 2020, aunque hay indicios de varias organizaciones de que pueden haber atacado silenciosamente los sitios ya en octubre de 2019.
Microsoft investigó más y descubrió que, aunque los atacantes no pudieron ingresar a la infraestructura ADFS / SAML de Microsoft, “se había utilizado una cuenta para ver el código fuente en varios repositorios de código fuente. La cuenta no tenía permisos para cambiar ningún código o sistema de ingeniería, y nuestra investigación también confirmó que no se realizaron cambios ”. Esta no es la primera vez que el código fuente de Microsoft ha sido atacado o filtrado a la web. En 2004, 30.000 archivos de Windows NT a Windows 2000 se filtraron a la web a través de terceros. Se informó que Windows XP se filtró en línea el año pasado.
Si bien no sería prudente afirmar con autoridad que el proceso de actualización de Microsoft nunca puede tener una puerta trasera, todavía confío en el proceso de actualización de Microsoft en sí, incluso si no confío en los parches de la compañía en el momento en que salen. El proceso de actualización de Microsoft depende de los certificados de firma de código que deben coincidir o el sistema no instalará la actualización. Incluso cuando se utiliza el proceso de parche implementado en Windows 10 llamado Optimización de entrega, el sistema recibirá fragmentos de un parche de otras computadoras en la red, o incluso de otras computadoras fuera de la red, y volverá a compilar todo el parche haciendo coincidir las firmas. . Este proceso garantiza que pueda obtener actualizaciones desde cualquier lugar, no necesariamente de Microsoft, y su computadora verificará que el parche sea válido.
Ha habido ocasiones en las que este proceso ha sido interceptado. En 2012, el malware Flame utilizó un certificado de firma de código robado para que pareciera que procedía de Microsoft para engañar a los sistemas para que permitieran la instalación de códigos maliciosos. Pero Microsoft revocó ese certificado y aumentó la seguridad del proceso de firma de código para garantizar que se cerrara el vector de ataque.
La política de Microsoft es asumir que su código fuente y su red ya están comprometidos y, por lo tanto, tiene una filosofía de «presunción de infracción». Entonces, cuando obtenemos actualizaciones de seguridad, no solo obtenemos correcciones para lo que sabemos; A menudo veo vagas referencias a seguridad adicional y características de seguridad que ayudan a los usuarios a avanzar. Tomemos, por ejemplo, KB4592438. Lanzado para 20H2 en diciembre, incluía una vaga referencia a las actualizaciones para mejorar la seguridad al usar los productos Microsoft Edge Legacy y Microsoft Office. Si bien la mayoría de las actualizaciones de seguridad de cada mes abordan específicamente una vulnerabilidad declarada, también hay partes que dificultan que los atacantes utilicen técnicas conocidas con fines nefastos.
Las versiones de funciones a menudo refuerzan la seguridad del sistema operativo, aunque algunas de las protecciones requieren una licencia de Microsoft 365 Enterprise llamada licencia «E5». Aún puede utilizar técnicas de seguridad avanzadas pero con claves de registro manuales o modificando la configuración de la directiva de grupo. Un ejemplo es un conjunto de configuraciones de seguridad diseñadas para reducir la superficie de ataque; Se utilizan varias configuraciones para evitar que se produzcan acciones maliciosas en el sistema.
Pero (y eso es un gran pero), establecer estas reglas significa que debe ser un usuario avanzado. Microsoft cree que estas características son más para empresas y corporaciones y, por lo tanto, no expone la configuración en una interfaz fácil de usar. Si usted es un usuario avanzado y desea verificar estas reglas de reducción de la superficie de ataque, mi consejo es que use la herramienta de interfaz gráfica de usuario de PowerShell llamada ASR Rules PoSH GUI para establecer las reglas. Primero establezca las reglas en «auditoría» en lugar de habilitarlas para que pueda examinar primero el impacto en el sistema.
Puede descargar la GUI desde el sitio de GitHub y verá estas reglas enumeradas. (Tenga en cuenta que debe ejecutar como administrador; haga clic con el botón derecho en el archivo .exe descargado y haga clic en Ejecutar como administrador). No es una mala manera de fortalecer su sistema, ya que las secuelas del ataque SolarWinds continúan desarrollándose .
Copyright © 2021
