Escanear para identificar computadoras Windows afectadas por vulnerabilidades

El Departamento de Seguridad de la Información ( Ministerio de Información y Comunicaciones ) acaba de enviar una advertencia sobre 16 vulnerabilidades de seguridad graves y de alto nivel en los productos de Microsoft a las unidades de TI y seguridad de la información de los ministerios, sucursales y localidades, corporaciones y grupos estatales, junto con bancos comerciales y entidades financieras.

Las vulnerabilidades antes mencionadas fueron advertidas por el Departamento de Seguridad de la Información con base en la evaluación y análisis de la lista de parches de abril de 2024 anunciada por Microsoft con 147 vulnerabilidades existentes en los productos de esta empresa tecnológica.

lo-hong-1-1.jpg
Las vulnerabilidades de seguridad son una de las "rutas" que los grupos de hackers exploran y explotan para atacar el sistema. Ilustración: Internet

Entre las 16 vulnerabilidades de seguridad recién advertidas, hay 2 vulnerabilidades que los expertos recomiendan que necesitan atención especial, que son: CVE-2024-20678 vulnerabilidad en Remote Procedure Call Runtime - RPC (un componente de Windows que facilita la comunicación entre diferentes procesos en el sistema a través de la red - PV), permitiendo a los atacantes ejecutar código de forma remota; CVE-2024-29988 vulnerabilidad en SmartScreen (una característica de seguridad integrada en Windows), permitiendo a los atacantes eludir el mecanismo de protección.

La lista de vulnerabilidades de seguridad en productos de Microsoft advertidas esta vez también incluye 12 vulnerabilidades que permiten a los atacantes ejecutar código de forma remota, entre ellas: 3 vulnerabilidades CVE-2024-21322, CVE-2024-21323, CVE2024-29053 en 'Microsoft Defender for IoT'; vulnerabilidad CVE-2024-26256 en la biblioteca de código abierto Libarchive; vulnerabilidad CVE-2024-26257 en la hoja de cálculo Microsoft Excel; 7 vulnerabilidades CVE-2024-26221, CVE-2024-26222, CVE2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 y CVE2024-26233 en 'Windows DNS Server'.

Además, también se recomienda a las unidades que presten atención a dos vulnerabilidades que permiten a los sujetos realizar ataques de suplantación de identidad, incluida la vulnerabilidad CVE-2024-20670 en el software Outlook para Windows que expone el 'hash NTML' y la vulnerabilidad CVE-2024-26234 en el controlador de proxy.

El Departamento de Seguridad de la Información recomienda que las agencias, organizaciones y empresas revisen, identifiquen y actualicen rápidamente los parches de seguridad de los sistemas operativos Windows que puedan verse afectados, para evitar el riesgo de ciberataques. El objetivo es garantizar la seguridad de los sistemas de información de las unidades, contribuyendo así a la seguridad del ciberespacio de Vietnam.

También se recomienda a las unidades que refuercen la vigilancia y preparen planes de respuesta ante la detección de indicios de explotación y ciberataques. Asimismo, monitoreen periódicamente los canales de alerta de las autoridades competentes y las grandes organizaciones de seguridad de la información para detectar con prontitud los riesgos de ciberataques.

También en abril, el Departamento de Seguridad de la Información advirtió e instruyó a las unidades para que revisaran y corrigieran la vulnerabilidad de seguridad CVE-2024-3400 en el software PAN-OS. El código de explotación de esta vulnerabilidad ha sido utilizado por el sujeto para atacar los sistemas de información de numerosas agencias y organizaciones. Se recomienda a las unidades que utilizan el software PAN-OS que actualicen el parche para las versiones afectadas, publicado el 14 de abril.

Priorizar la atención a los riesgos potenciales en el sistema

Los expertos consideran que atacar sistemas explotando vulnerabilidades de seguridad de software y soluciones tecnológicas de uso común es una de las tendencias más destacadas en ciberataques. No solo explotan vulnerabilidades de día cero (vulnerabilidades aún no descubiertas) o nuevas vulnerabilidades anunciadas por las empresas, sino que los grupos de ciberataques también buscan activamente vulnerabilidades ya descubiertas para explotarlas y usarlas como trampolín para atacar sistemas.

Seguridad de la información de la red W 1-1.jpg
Evaluar periódicamente la seguridad de la información y buscar proactivamente amenazas para detectar y eliminar posibles riesgos del sistema es una tarea importante para que las unidades y empresas protejan sus sistemas. Ilustración: K. Linh

Sin embargo, en realidad, el Departamento de Seguridad de la Información y las agencias y unidades que operan en el campo de la seguridad de la información emiten regularmente advertencias sobre nuevas vulnerabilidades o nuevas tendencias de ataque, pero muchas agencias y unidades no han prestado realmente atención a actualizarlas y manejarlas con prontitud.

Al compartir un caso específico de apoyo a una organización que fue atacada a finales de marzo, el experto Vu Ngoc Son, director técnico de NCS Company, comentó: «Tras analizarlo, nos dimos cuenta de que el incidente debería haberse gestionado antes, ya que se había advertido a la organización que la cuenta de la recepcionista estaba comprometida y debía gestionarse de inmediato. Como consideraron que la cuenta de la recepcionista no era importante, la organización la ignoró y no la atendió. El hacker usó la cuenta de la recepcionista, explotó la vulnerabilidad, se apropió de los derechos de administrador y atacó el sistema».

Las estadísticas compartidas por el Departamento de Seguridad de la Información a finales del año pasado mostraron que más del 70% de las organizaciones no han prestado atención a la revisión y manejo de actualizaciones y parches de vulnerabilidades y debilidades que han sido advertidas.

Frente a la situación anterior, en los 6 grupos de tareas clave recomendadas a los ministerios, sucursales, localidades, agencias, organizaciones y empresas para enfocarse en implementar en 2024, el Departamento de Seguridad de la Información solicitó a las unidades priorizar la resolución de los riesgos potenciales o los riesgos que ya están presentes en el sistema.

“Las unidades deben abordar los riesgos conocidos y existentes en el sistema antes de considerar invertir para protegerse de nuevos riesgos. Revisar y evaluar periódicamente la seguridad de la información según la normativa y detectar amenazas para detectar y eliminar riesgos en el sistema es fundamental y debe realizarse con regularidad”, enfatizó el representante del Departamento de Seguridad de la Información.

El Ministerio de Información y Comunicaciones establecerá una plataforma para la alerta temprana de riesgos de seguridad de la información . Con fecha de implementación prevista para 2024, esta plataforma para la gestión, detección y alerta temprana de riesgos de seguridad de la información notificará automáticamente a las agencias y organizaciones sobre riesgos, vulnerabilidades y debilidades en el sistema de información de la unidad.