La guerra tecnológica: Microsoft
Esta semana, Microsoft y Apple revelaron detalles sobre la persistencia de las amenazas cibernéticas y la capacidad de los actores de amenazas para adaptarse, robar credenciales y evadir los parches de seguridad.
Microsoft fortalece la seguridad contra Storm-0558
El actor Storm-0558, vinculado a China, accedió este año a altos funcionarios de los Departamentos de Estado y Comercio de los Estados Unidos gracias a las credenciales robadas de la cuenta corporativa de un ingeniero de Microsoft hace dos años, según explicó la compañía en una publicación esta semana.
Microsoft explicó cómo la caída del sistema de inicio de sesión de los consumidores en abril de 2021 permitió a los actores acceder a las credenciales. La compañía señaló: "Las capturas de errores, que ocultan información sensible, no deberían incluir la clave de inicio de sesión. En este caso, una condición de carrera permitió que la clave estuviera presente en la captura de errores. La presencia del material de la clave en la captura de errores no fue detectada por nuestros sistemas."
Microsoft afirmó que los atacantes falsificaron tokens de autenticación para acceder a los correos electrónicos de los usuarios utilizando la clave de inicio de sesión de los consumidores adquirida. "Microsoft ha completado la mitigación de este ataque para todos los clientes", dijo la compañía.
La empresa dijo que ha mejorado la prevención, detección y respuesta de los materiales de autenticación, ha mejorado la exploración de credenciales para detectar mejor la presencia de claves de inicio de sesión en el entorno de depuración, ha lanzado bibliotecas mejoradas para automatizar la validación del alcance de las claves en las bibliotecas de autenticación y ha aclarado la documentación relacionada.
Microsoft explica cómo Storm-0558 falsificó tokens
Microsoft, que ha rastreado a los atacantes durante años, detalló en julio de 2023 cómo Storm-0558 accedió a las cuentas de correo electrónico de unas 25 organizaciones, incluyendo agencias gubernamentales y cuentas de consumidores relacionadas con estas organizaciones. Los atacantes utilizaron una clave de inicio de sesión de los consumidores adquirida de Microsoft para falsificar tokens y acceder a OWA y Outlook.com.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelEn un análisis ejecutivo realizado por Microsoft Threat Intelligence, los investigadores escribieron que a partir del 15 de mayo de 2023, Storm-0558 utilizó tokens de autenticación falsificados para acceder a los correos electrónicos de los usuarios.
"[Microsoft] ha bloqueado con éxito esta campaña de Storm-0558", informó Microsoft Threat Intelligence. "Como ocurre con cualquier actividad observada de actores de estados nacionales, Microsoft ha notificado directamente a los clientes objetivo o comprometidos, proporcionándoles información importante necesaria para asegurar sus entornos".
Los autores continuaron diciendo que habían identificado la causa raíz, establecido un seguimiento duradero de la campaña, interrumpido las actividades maliciosas, fortalecido el entorno, informado a cada cliente afectado y coordinado con múltiples entidades gubernamentales.
Mentalidad de confianza cero versus vulnerabilidades
Microsoft, que ha sido vocal sobre la transparencia en el manejo de los ataques, dijo que estaba trabajando para fortalecer sus protocolos de seguridad. En la revisión recién concluida de Storm-0558, el equipo de seguridad de la compañía señaló que sus correos electrónicos, herramientas de conferencia, investigación web y otras herramientas de colaboración pueden hacer que los usuarios sean vulnerables al phishing dirigido, malware que roba tokens y otros ataques.
"Por esta razón —por política y como parte de nuestra mentalidad de confianza cero y de “suponer que ya han sido comprometidos”—, los materiales clave no deben salir de nuestro entorno de producción", dijo Microsoft.
Ted Miracco, CEO de Approov Mobile Security, dijo que las dos características más perturbadoras del informe son que Storm-0558 pudo falsificar tokens para acceder a las cuentas de correo electrónico de altos funcionarios y que la brecha persistió durante años sin ser descubierta.
Cómo proteger tu computadora de los virus: métodos y consejos"Esto lleva a preguntarse: ¿Cuántas otras cuentas están siendo comprometidas hoy en día con tokens falsificados y cómo se pueden identificar más cuentas comprometidas?", dijo Miracco. "Los hallazgos refuerzan que se requiere una vigilancia constante para adelantarse a los atacantes sofisticados y que las claves y los tokens deben rotarse con frecuencia para evitar el acceso persistente a cuentas comprometidas".
Múltiples capas de seguridad son críticas para enfrentar múltiples amenazas
Pete Nicoletti, CISO global de Check Point Software, agregó que el incidente subraya la necesidad imperante de que las empresas implementen múltiples capas de seguridad y mecanismos de monitoreo robustos.
"Es también crucial para cada empresa revisar quién tiene acceso a las claves criptográficas", dijo Nicolleti. "Además, es imperativo que las empresas utilicen herramientas de seguridad que no aparezcan en las búsquedas MX, complementadas con una herramienta de punto final diseñada para frustrar las etapas posteriores de un ataque".
Nicolleti dijo que las empresas deben proteger proactivamente contra el acceso no autorizado a las claves después de una posible brecha en el correo electrónico de la empresa. "En CheckPoint, abogamos firmemente por la adopción de un sistema de gestión de claves especializado que imponga requisitos de autenticación adicionales, opere en una red aislada y sin conexión a internet y mantenga prácticas de monitoreo de acceso vigilantes".
Apple lanza parches contra Pegasus, una confrontación continua con el NSO Group
Un día después de la explicación de Microsoft, Apple lanzó una versión de emergencia de parches de software para solucionar un par de vulnerabilidades cero-day que supuestamente fueron utilizadas para atacar a una víctima con el spyware Pegasus del NSO Group. Pegasus es conocido, entre otras cosas, por haber sido utilizado por el gobierno saudí para rastrear —y asesinar— al periodista Jamal Khashoggi. Se informa que las dos nuevas vulnerabilidades son las décimas tercera de Apple este año.
La cadena de ataque podría afectar incluso a los iPhones más actualizados (iOS 16.6), siendo necesario que la víctima caiga en ingeniería social. Apple afirmó que una CVE dejaba ciertos dispositivos móviles de Apple, como los iPhones, Apple Watches, Macs y iPads, expuestos a ataques. Apple señaló que la cadena de ataque apunta al marco de trabajo de Image I/O. La segunda vulnerabilidad en la función Wallet deja un dispositivo expuesto a ataques de un "adjunto maliciosamente diseñado".
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasLos parches para iOS, iPadOS, watchOS, macOS y Ventura son el último esfuerzo para poner límites a Pegasus, originalmente concebido como una herramienta gubernamental para la vigilancia de Israel.
Rick Holland, CISO en ReliaQuest, dijo que los nuevos parches son lo último en una escaramuza continua.
"Estoy seguro de que esta actualización está relacionada con las vulnerabilidades de clic cero que están siendo explotadas por el grupo NSO", dijo Holland. "Apple ha estado jugando un juego del gato y el ratón con el grupo NSO durante años. Los investigadores identifican una vulnerabilidad, Apple la parchea, el grupo NSO desarrolla nuevos exploits y el ciclo comienza de nuevo".
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a La guerra tecnológica: Microsoft , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados