Problemas en Defender, WordPress y Linux
“Esto es un no parar” pensaréis algunos de vosotros. Y con razón. Tres colosos como los del título de este artículo han tenido problemas recientemente. Y esos problemas revierten en empresas, entidades o personas como vosotros y vosotras. Pero veréis que todos estos problemas tienen solución. Así que una vez más hacemos una llamada a que entendáis que ¡la ciberseguridad es una necesidad, una inversión y no un gasto!
Microsoft se ha visto obligada a crear una nueva norma de seguridad en su antivirus nativo de Windows, el Microsoft Defender. Este programa se incluye y activa por defecto en las versiones de Windows 8, 10 y 11, aunque también hay versiones para Windows Vista, Windows 7 y otros. Nació para buscar y solucionar amenazas, prevenir software espía y malware en todas esas versiones de Windows.
La nueva característica incorporada al Defender bloquea los intentos de robar credenciales guardadas en los sistemas. Lo que ha buscado la empresa estaunidense es reducir la superficie de impacto de los ciberataques. Con este nuevo protocolo, el bloqueo de robo de credenciales pasa a estar configurado por defecto, con la opción “bloquear” seleccionada de serie. Antes no era así.
Podéis leer el comunicado oficial de Microsoft, que incluye detalles técnicos AQUÍ.
Cuando una auditoría descubre vulnerabilidades críticas
Si navegáis un poco por nuestra web, sabréis que bastante a menudo informamos sobre auditorías. Y es que se trata de uno de los trabajos más recurrentes de la ciberseguridad para conocer el estado de los sistemas de los clientes.
Para corroborar todo esto, hoy os queremos hablar de una vulnerabilidad detectada nada menos que en WordPress por un investigador de la empresa Automattic, Marc-Alexandre Montpas. El descubrimiento tuvo lugar durante una auditoría que realizó esta empresa de desarrollo web. Con sede en San Francisco, su producto estrella es WordPress, aunque están detrás de otros muchos desarrollos conocidos.
La vulnerabilidad en cuestión se encontraba en un plugin de UpdraftPlus y exponía los datos de las copias de seguridad de los sitios ante potenciales ataques. El resultado es que más de tres millones de páginas web basadas en WordPress tuvieron que actualizarse con un parche de emergencia.
UpdraftPlus se presenta como el complemento de copia de seguridad, restauración y clonación de WordPress más confiable del mundo. Bueno, ya habéis visto que incluso los mejores pueden tener problemas. Pero lo importante es destacar la reacción rápida de la empresa y los parches que crearon. Tambié es elogiable la transparencia, ya que además de su comunicado, recomendaron actualizar inmediatamente los sitios afectados.
Como veis, la ciberseguridad es también preventiva y como el riesgo cero lamentablemente no existe, lo que deberíamos hacer todos es auditorías recurrentes y, en caso de problemas, actuar lo más rápidamente posible, cosa que no es tan difícil de conseguir. Bastaría con tener un SOC 24 horas como el que ofrecemos nosotros para que nuestros clientes y sus CISO (caso de tenerlos) puedan dormir mucho más tranquilos.
Una empresa alerta que los ciberdelincuentes tienen a Linux entre sus objetivos
Para terminar este artículo queremos también hablaros de un informe elaborado por la empresa de ciberseguridad VMware. Se trata de una compañía estadounidense basada en California que proporciona software de virtualización.
Podéis enlazar con su web para el mercado español AQUÍ.
Bueno, está claro, ¿verdad? Si hay problemas en Defender, WordPress y Linux, no hay más remedio que aceptar que debemos protegernos. Porque aquellos que piensen que son pequeños y nadie va a fijarse en su empresa, están totalmente equivocados. ¿Nos contactáis?
En este informe, titulado “Exponiendo el malware en entornos de múltiples nubes basados en Linux” asegura que Linux se está convirtiendo en el modo de entrada de un atacante en el entorno de múltiples nubes. Ello se debe a que los entornos en la nube, en gran mayoría, tienen su sistema operativo basado en Linux. Para ello los ciberataques a Linux incluyen nuevos ransomwares.
La empresa también ha alertado sobre el uso de criptomineros que infectan un dispositivo para minar criptomonedas. Según el informe, hasta en un 89% de los incidentes hacen uso de la moneda Monero mediante bibliotecas XMRig.
Si estáis interesados en tener más información de este tema, podéis enlazar con el comunicado de la empresa AQUÍ.
Imagen principal: MasterTux para Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Productos, Seguridad, Software libre
Cuando la vulnerabilidad dura y dura y dura…
Hace unos días supimos que Microsoft solucionó una vulnerabilidad del antivirus preinstalado en los ordenadores de Windows, el famoso Microsoft Defender. Pero lo que más sorprendió de la noticia es que el error estaba presente en el software ¡desde hace 12 años! Así que hemos decidido explicaros algunos otros casos, porque cuando la vulnerabilidad dura y dura y dura… vuestra empresa entra en una lotería de la que lleváis muchos números.
Otra cosa nos sorprendió de la noticia: por un lado que quienes lo detectaron no fueron los propios responsables de Microsoft, sino la compañía de ciberseguridad SentinelOne. Esta startup norteamericana fundada en 2013 y con sede en California, descubrió que la brecha permitía acceder a los privilegios de seguridad del sistema Windows reservados a los administradores.
Y os preguntaréis: ¿cómo es posible que no se haya detectado en tanto tiempo? Parece ser que el driver afectado es un componente que no se almacena en el disco duro. Dicho de otro modo, se utiliza y se elimina de forma inmediata. Pero claro, al afectar a un antivirus preinstalado en los ordenadores de Windows, se calcula que puede haber afectado a más de mil millones de dispositivos en todo el mundo. Por suerte SentinelOne cree que no hay evidencias de que el fallo haya sido aprovechado por ciberdelincuentes.

Windows Microsoft Defender
Microsoft ya lo solucionó hace unos días, con un parche y una actualización automática para todos los usuarios de Windows 10. Pero recordad que, tal y como os contamos AQUÍ, hace ahora un año, las versiones anteriores a Windows 10, como Windows 7 o Windows Server 2008 ya no tienen soporte de seguridad, por lo que la actualización automática no les va a llegar y seguirán con el problema, manteniendo la puerta abierta a posibles ataques.
Para los más técnicos que queráis averiguar un poco más del tema, deciros que se ha denominado a este problema CVE-2021-24092.
Cuando la vulnerabilidad dura y dura y dura…
Otros casos relevantes
Hay que tener muy en cuenta que las vulnerabilidades se reducen cuando están parcheadas. Sin embargo las empresas siempre tardan un poco más en solucionar los problemas, por lo que generalmente se sigue estando expuesto tras la localización de errores.
Lo podéis leer en este artículo de la revista IT Digital Security titulado “Vulnerabilidades antiguas y no críticas, campo abonado por el ransomware”. En él se dice, por ejemplo, que “si bien los costos de ransomware en 2017 se estimaron en 5.000 millones en total, las estimaciones han aumentado a 11.500 millones en 2019” o que “el 35% de las vulnerabilidades explotadas en los ataques de ransomware tienen más de 3 años”.
En este mismo sentido se expresa Silicon.es en un artículo titulado “Antiguas vulnerabilidades críticas siguen vigentes en cientos de aplicaciones Android” donde se advierte que “a través de ellas, un ciberdelincuente puede robar información y obtener permisos para acceder a la ubicación del usuario o leer sus conversaciones”.
Hay muchos ejemplos de vulnerabilidades que perduran en el tiempo. Algunas son ya tan famosas que incluso tienen una importante entrada en Wikipedia. Es el caso del Cross-site scripting (secuencia de comandos en sitios cruzados) o XSS, un fallo típico de las aplicaciones web que implica al código JavaScript.
También es el caso de la inyección SQL, que consigue infiltrar un código intruso que permite realizar operaciones sobre una base de datos o el ataque de denegación de servicio o DoS (de las siglas en inglés Denial of Service). En este caso se trata de atacar un sistema de computadoras en red que impide a los usuarios legítimos acceder a los servicios. Eso que parece tan banal, llegó a afectar puntos clave del nodo central de Londres en 2013, como podéis leer en la entrada de la Wikipedia con la que os hemos enlazado.
De todo esto debemos sacer dos conclusiones muy claras:
1.- ¡Estamos expuestos! Continuamente. No tengáis dudas. Imaginaros hasta que punto si el mismísimo Microsoft ha tenido una vulnerabilidad durante 12 años. Así que “un poquito de por favor”. Mirad bien todos nuestros servicios y abrid el desplegable para tener claro en que os podemos ayudar y que LA CIBERSEGURIDAD NO ES UN GASTO, SINO UNA INVERSIÓN. ¡Y es muy asequible económicamente hablando! Contactadnos y lo veréis.
2.- La segunda conclusión a lo que llegamos es que no debéis de dejar nunca de actualizar vuestros equipos, sistemas, móviles, etc. Eso “que es tan pesado” y que siempre “dejamos para más tarde” porque “nunca nos viene bien” es imprescindible. Pensad que cerca del 90% de los contenidos de una actualización están ligados a mejorar la seguridad.
Así que… ¡no lo dudéis y hacedlo!