Escanear para identificar computadoras Windows afectadas por vulnerabilidades

El Departamento de Seguridad de la Información (Ministerio de Información y Comunicaciones) acaba de enviar a las unidades especializadas de TI y seguridad de la información de los ministerios, sucursales y localidades una advertencia sobre 16 vulnerabilidades de seguridad graves y de alto nivel en los productos de Microsoft; corporaciones, corporaciones estatales, bancos comerciales por acciones e instituciones financieras.

Las vulnerabilidades mencionadas anteriormente fueron advertidas por el Departamento de Seguridad de la Información basándose en la evaluación y el análisis de la lista de parches de abril de 2024 anunciada por Microsoft con 147 vulnerabilidades existentes en los productos de la empresa tecnológica.

lo-hong-1-1.jpg
Los agujeros de seguridad son uno de los "caminos" que los grupos de hackers escanean y explotan para atacar el sistema. Ilustración: Internet

Entre las 16 vulnerabilidades de seguridad recientemente advertidas, hay 2 vulnerabilidades que los expertos recomiendan que necesiten especial atención, que son: Vulnerabilidad CVE-2024-20678 en Remote Procedure Call Runtime - RPC (un componente de Windows que facilita la comunicación entre diferentes procesos en el sistema a través de la red - PV), que permite a los atacantes ejecutar código de forma remota; La vulnerabilidad CVE-2024-29988 en SmartScreen (una característica de seguridad integrada en Windows) permite a los atacantes eludir los mecanismos de protección.

La lista de vulnerabilidades de seguridad en productos de Microsoft advertidas esta vez también incluye 12 vulnerabilidades que permiten a los atacantes ejecutar código remoto, entre ellas: 3 vulnerabilidades CVE-2024-21322, CVE-2024-21323, CVE2024-29053 en 'Microsoft Defender for IoT'; Vulnerabilidad CVE-2024-26256 en la biblioteca de código abierto Libarchive; Vulnerabilidad CVE-2024-26257 en hojas de cálculo de Microsoft Excel; 7 vulnerabilidades CVE-2024-26221, CVE-2024-26222, CVE2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 y CVE2024-26233 en 'Windows DNS Server'.

Además, también se recomienda a las unidades que presten atención a dos vulnerabilidades que permiten a los sujetos realizar ataques de suplantación de identidad, incluida la vulnerabilidad CVE-2024-20670 en el software Outlook para Windows que expone el 'hash NTML' y la vulnerabilidad CVE-2024-26234 en el controlador de proxy.

El Departamento de Seguridad de la Información recomienda que las agencias, organizaciones y empresas revisen, verifiquen e identifiquen las computadoras que utilizan sistemas operativos Windows que probablemente estén afectados y actualicen rápidamente los parches para evitar el riesgo de ataques cibernéticos. El objetivo es garantizar la seguridad de la información de los sistemas de información de las unidades, contribuyendo a garantizar la seguridad del ciberespacio de Vietnam.

También se recomienda que las unidades fortalezcan el monitoreo y preparen planes de respuesta cuando detecten señales de explotación y ciberataques. Junto con ello, monitorear periódicamente los canales de alerta de las autoridades y grandes organizaciones en materia de seguridad de la información para detectar oportunamente riesgos de ciberataques.

También en abril, el Departamento de Seguridad de la Información advirtió y ordenó a las unidades revisar y corregir la vulnerabilidad de seguridad CVE-2024-3400 en el software PAN-OS. El código de explotación de esta vulnerabilidad ha sido utilizado por el sujeto para atacar los sistemas de información de muchas agencias y organizaciones. Se recomienda a las unidades que utilizan el software PAN-OS que actualicen el parche para las versiones afectadas publicado el 14 de abril.

Priorizar la atención a los riesgos potenciales en el sistema

Los expertos siempre consideran que atacar sistemas explotando vulnerabilidades de seguridad de software y soluciones tecnológicas de uso común es una de las tendencias de ciberataques más importantes. Los grupos de ataques cibernéticos no solo explotan vulnerabilidades de día cero (vulnerabilidades que no han sido descubiertas) o nuevas vulnerabilidades de seguridad anunciadas por las empresas, sino que también buscan activamente vulnerabilidades de seguridad previamente descubiertas para explotarlas y usarlas como trampolín para atacar sistemas.

Seguridad de la información en la red W 1-1.jpg
Las evaluaciones periódicas de la seguridad de la información y la búsqueda proactiva de amenazas para detectar y eliminar posibles riesgos del sistema son importantes para que las unidades y las empresas protejan sus sistemas. Ilustración: K.Linh

Sin embargo, en la realidad, el Departamento de Seguridad de la Información y las agencias y unidades que operan en el campo de la seguridad de la información emiten regularmente advertencias sobre nuevas vulnerabilidades o nuevas tendencias de ataque, pero muchas agencias y unidades no han prestado realmente atención a actualizarlas y manejarlas con prontitud.

Al compartir sobre un caso específico de apoyo a una organización que fue atacada a fines de marzo, el experto Vu Ngoc Son, director técnico de NCS Company, dijo: “Después de analizar, nos dimos cuenta de que el incidente debería haberse manejado antes, porque esta organización había sido advertida de que la cuenta de la recepcionista estaba comprometida y necesitaba ser manejada de inmediato. Debido a que consideraron que la cuenta de la recepcionista no era importante, esta organización la ignoró y no la procesó. Los piratas informáticos utilizaron la cuenta de recepcionista, explotaron la vulnerabilidad, obtuvieron derechos administrativos y lanzaron ataques al sistema .

Las estadísticas compartidas por el Departamento de Seguridad de la Información a finales del año pasado mostraron que más del 70% de las organizaciones no han prestado atención a revisar y manejar actualizaciones y parchar vulnerabilidades y debilidades que han sido advertidas.

Ante la situación anterior, en los 6 grupos de tareas clave recomendadas a los ministerios, dependencias, localidades, agencias, organizaciones y empresas a enfocarse en implementar en 2024, el Departamento de Seguridad de la Información solicitó a las unidades priorizar la resolución de los riesgos potenciales o que ya existen en el sistema.

“Las unidades deben abordar los riesgos reconocidos y los riesgos existentes en el sistema antes de pensar en invertir para protegerse contra nuevos riesgos. "La comprobación y evaluación periódica de la seguridad de la información de acuerdo con las normas y la búsqueda de amenazas para detectar y eliminar los riesgos en el sistema es muy importante y debe realizarse periódicamente", enfatizó un representante del Departamento de Seguridad de la Información.

El Ministerio de Información y Comunicaciones creará una plataforma para apoyar la alerta temprana de riesgos de seguridad de la información . Se espera que se establezca en 2024, la plataforma para la gestión, detección y alerta temprana de riesgos de seguridad de la información notificará automáticamente a las agencias y organizaciones sobre los riesgos, vulnerabilidades y debilidades en el sistema de información de la unidad.