Josep Albors explica las vulnerabilidades en el software como acceso de ciberamenazas en empresas
Cuando las vulnerabilidades llevan aƱos entre nosotros
Cuando hablamos de agujeros de seguridad sin solucionar solemos pensar en aquellos que se han descubierto recientemente y cuyos parches se empiezan a desplegar por los administradores de sistemas poco a poco, una vez se han asegurado de que no causan conflictos. Este despliegue de actualizaciones es algo que, especialmente en las grandes empresas, puede durar semanas o incluso meses, por lo que es habitual que los delincuentes tengan una ventana de oportunidad bastante amplia una vez se descubre una vulnerabilidad que pueden aprovechar activamente.
Sin embargo, tambiĆ©n hay muchas empresas, grandes y pequeƱas, que mantienen sin actualizar varias de sus aplicaciones y sistemas, lo que permite que vulnerabilidades con aƱos a sus espaldas sigan pudiendo ser aprovechadas por atacantes que quieren comprometer los sistemas de la red corporativa. Estos ataques pueden realizarse de varias formas, pero, como ya hemos dicho, el correo electrĆ³nico es uno de los puntos de partida preferidos de los delincuentes, como en el caso que vemos a continuaciĆ³n.
Revisando el correo vemos que se dirige a un sector muy especĆfico de empresas, concretamente a aquellas que hacen uso de maquinaria pesada como pueden ser, por ejemplo, constructoras. El asunto del correo no es que ayude al usuario a hacerse una idea de su finalidad, pero leyendo el cuerpo del mensaje vemos que se hace referencia al encargo de una retroexcavadora y a cierta informaciĆ³n que estĆ” pendiente de entrega para poder proceder al envĆo.
Algo que hace que este correo gane credibilidad, al menos entre aquellas empresas que comercian o adquieren este tipo de maquinaria pesada, es que parece ser enviado desde una empresa legĆtima afincada en Reino Unido, con una persona y telĆ©fono de contacto, ademĆ”s de un domicilio fiscal y pĆ”gina web.
En el caso en que los delincuentes hayan conseguido convencer al usuario que recibe este correo para abrir el documento adjunto, la vĆctima verĆ” lo siguiente en su pantalla. Todo apunta a que el documento usado no se ha configurado correctamente, puesto que en este tipo de casos se suele mostrar algĆŗn tipo de factura o documento difuminado en el fondo, junto con el aviso de que, para poder verlo correctamente, se ha de permitir la ediciĆ³n del mismo.
Otorgar permisos de ediciĆ³n a este tipo de documentos maliciosos permitirĆ” que se inicie la cadena de infecciĆ³n que se aprovecha de una vulnerabilidad sobradamente conocida desde hace cinco aƱos. Estamos hablando de la vulnerabilidad CVE-2017-11882, que permite a un atacante ejecutar remotamente cĆ³digo arbitrario y que afecta a diferentes versiones de MS Office entre la 2007 y la 2016.
PodrĆamos pensar que, siendo una vulnerabilidad tan antigua y que se aprovecha de versiones Office que ya deberĆan estar en desuso, su impacto deberĆa ser mĆnimo en la seguridad de las empresas espaƱolas actualmente. Por desgracia, la realidad es diferente, y la explotaciĆ³n de esta vulnerabilidad mediante documentos adjuntos a correos representan la amenaza en emails mĆ”s detectada en EspaƱa durante los primeros cuatro meses de 2022.
Esto nos demuestra, una vez mĆ”s, varias cosas. Para empezar, que los delincuentes siguen reciclando y mejorando viejas tĆ©cnicas mientras estas les sigan resultando efectivas, ya sea en base al nĆŗmero de vĆctimas que pueden seguir obteniendo o en base a la relaciĆ³n coste / beneficio. Por otra parte, deja bastante mal parada a aquellas empresas que no invierten lo suficiente en seguridad, ni siquiera para arreglar agujeros de seguridad sobradamente conocidos y explotados desde hace aƱos.
ĀæQuĆ© buscan los delincuentes?
El aprovechamiento de vulnerabilidades es algo que estĆ” a la orden del dĆa y los delincuentes son especialistas en sacarles provecho para conseguir sus fines. Gracias a ellas pueden acceder a redes corporativas, informaciĆ³n confidencial e incluso saltarse medidas de seguridad si estas no estĆ”n debidamente configuradas o nadie se encarga de monitorizarlas.
En este caso en particular vemos como los delincuentes van detrĆ”s de cierta informaciĆ³n especĆfica como son las credenciales, cookies de inicio de sesiĆ³n, historial, etc., almacenadas en varias de las aplicaciones de uso comĆŗn en empresas de todo tipo, como pueden ser navegadores de Internet, clientes de correo, FTPs o VPNs, por poner solo unos ejemplos.
Revisando el cĆ³digo del malware descargado tras abrir el documento y explotarse la vulnerabilidad, vemos como los delincuentes buscan esta informaciĆ³n entre todo tipo de aplicaciones, no solamente las mĆ”s conocidas, sino que tambiĆ©n incluyen a aplicaciones mĆ”s de nicho o que son usadas mayoritariamente en ciertas regiones.
Estamos, una vez mĆ”s, ante un caso del malware conocido como Agent Tesla, especializado en el robo de informaciĆ³n. Una vez conseguida y recopilada esta informaciĆ³n, los delincuentes la sacan de los sistemas infectados aprovechando un servidor de correo de una empresa legĆtima que ha sido previamente comprometido. Esta tĆ©cnica es bastante habitual, puesto que asĆ se trata de impedir que se bloqueen las comunicaciones por parte de las soluciones de seguridad implementadas.
Con esta informaciĆ³n en su poder, los delincuentes pueden proceder a venderla a otros grupos criminales y/o usarla para lanzar ataques dirigidos contra esa empresa que les permitan robar informaciĆ³n confidencial o incluso cifrarla y solicitar un rescate por ella. TambiĆ©n pueden utilizar la infraestructura de la empresa legĆtima atacada para seguir propagando este tipo de correos maliciosos, dirigiĆ©ndolos a otras muchas empresas de todo el mundo.
ConclusiĆ³n
Acabamos de comprobar que todo tipo de amenazas pueden seguir aprovechĆ”ndose de agujeros de seguridad existentes desde hace un lustro, algo preocupante y que dice poco de la seguridad de nuestras empresas. Es fundamental, por tanto, contar con una polĆtica de actualizaciones y parcheo de vulnerabilidades eficiente, complementada por soluciones de seguridad que permitan la detecciĆ³n de aquellas amenazas que intenten aprovechar vulnerabilidades explotadas activamente, independientemente de su antigĆ¼edad.
