Definición de "día cero"
El término "día cero" se utiliza cuando los equipos de seguridad desconocen la vulnerabilidad de su software y han tenido "0" días para trabajar en un parche de seguridad o una actualización para solucionar el problema. "Día cero" se suele asociar con los términos vulnerabilidad, exploit y amenaza. Es importante comprender la diferencia:
- Una vulnerabilidad de día cero es una vulnerabilidad de seguridad o un fallo de software desconocidos que un atacante puede atacar con código malicioso.
- Un exploit de día cero es la técnica o táctica que utiliza un actor malintencionado para aprovechar la vulnerabilidad y atacar un sistema.
- Un ataque de día cero ocurre cuando un hacker lanza malware para aprovechar la vulnerabilidad del software antes de que el desarrollador haya solucionado el fallo.
Más información
Los ataques de día cero son extremadamente peligrosos para las cargas de trabajo en la nube porque son desconocidos y pueden ser muy difíciles de detectar, lo que los convierte en un grave riesgo de seguridad. Es como si un ladrón entrara a escondidas por una puerta trasera que accidentalmente quedó abierta.
Lee sobre cómo CrowdStrike defiende las cargas de trabajo en la nube
Ejemplos de día cero
A continuación se presentan algunas vulnerabilidades conocidas que se descubrieron en los últimos años:
Ataque a Kaseya
El viernes 2 de julio, el operador de ransomware REvil logró comprometer el software Kaseya VSA, utilizado para monitorizar y administrar la infraestructura de los clientes de Kaseya. El operador de ransomware REvil utilizó vulnerabilidades de día cero para distribuir una actualización maliciosa, comprometiendo a menos de 60 clientes de Kaseya y 1500 empresas, según la declaración pública de Kaseya. Más información >
Vulnerabilidad de VPN de SonicWall
El 4 de febrero de 2021, el equipo de respuesta a incidentes de seguridad de productos (PSIRT) de SonicWall anunció una nueva vulnerabilidad de día cero, CVE-2021-20016, que afecta a sus dispositivos SMA (acceso móvil seguro). En la documentación, SonicWall afirmó que esta nueva vulnerabilidad afecta al producto de la serie SMA 100 y que se requieren actualizaciones para las versiones que ejecutan el firmware 10.x. SonicWall no indicó si este nuevo exploit afecta a los dispositivos SRA VPN más antiguos que aún se encuentran en entornos de producción ni de qué manera. Más información >
Retransmisión MSRPC de spooler de impresora (CVE-2021-1678)
El Patch Tuesday (martes de parches), 12 de enero de 2021, Microsoft lanzó un parche para CVE-2021-1678, una vulnerabilidad importante descubierta por los investigadores de CrowdStrike®. Esta vulnerabilidad permite a un ciberdelincuente retransmitir sesiones de autenticación NTLM a una máquina atacada y utilizar una interfaz MSRPC de spooler de impresora para ejecutar código de forma remota en la máquina atacada.
Zerologon
El 11 de agosto de 2020, Microsoft lanzó una actualización de seguridad que incluye un parche para una vulnerabilidad crítica en el protocolo NETLOGON (CVE-2020-1472) descubierta por investigadores de Secura. Dado que no se publicaron detalles técnicos iniciales, el CVE en la actualización de seguridad no atrajo mucha atención, a pesar de recibir una puntuación CVSS máxima de 10.
Esta vulnerabilidad permite a un ciberdelincuente no autenticado con acceso a la red de un controlador de dominio establecer una sesión Netlogon vulnerable y eventualmente obtener privilegios de administrador de dominio. La vulnerabilidad es especialmente grave, ya que el único requisito para una explotación exitosa es la capacidad de establecer una conexión con un controlador de dominio.
Lee nuestro análisis técnico de Zerologon
Vulnerabilidad de NTLM
El Patch Tuesday (martes de parches) de junio de 2019, Microsoft lanzó parches para CVE-2019-1040 y CVE-2019-1019, dos vulnerabilidades descubiertas por investigadores de Preempt (actualmente CrowdStrike). Las vulnerabilidades críticas consisten en tres fallos lógicos en NTLM (el protocolo de autenticación de Microsoft). Los investigadores de Preempt pudieron eludir todos los principales mecanismos de protección de NTLM.
Estas vulnerabilidades permiten a los ciberdelincuentes ejecutar de forma remota código malicioso en cualquier máquina Windows o autenticarse en cualquier servidor HTTP que admita la autenticación integrada de Windows (WIA), como Exchange o ADFS. Todas las versiones de Windows que no aplicaron este parche son vulnerables.
Obtén más información sobre cómo se descubrió esta vulnerabilidad
Stuxnet
Uno de los ataques de día cero más conocidos es Stuxnet, el gusano que se cree es responsable de causar daños considerables al programa nuclear de Irán. Este gusano explotó cuatro vulnerabilidades de día cero diferentes en el sistema operativo Microsoft Windows.
Estas son las mejores formas de protegerse contra ataques de día cero:
Gestión de parches
La gestión de parches es el proceso de identificación e implementación de actualizaciones de software, o "parches", en diversos endpoints, tales como ordenadores, dispositivos móviles y servidores.
Un "parche" es un cambio específico o un conjunto de actualizaciones proporcionadas por los desarrolladores de software para corregir vulnerabilidades de seguridad o problemas técnicos conocidos. Los parches también pueden incluir la incorporación de nuevas características y funciones a la aplicación. Es importante señalar que los parches suelen ser soluciones a corto plazo que se utilizan hasta la siguiente versión completa del software. Un proceso eficaz de gestión de parches tendrá en cuenta los siguientes elementos:
- La revisión de las versiones de los parches de seguridad.
- La priorización de los esfuerzos de aplicación de parches en función de la gravedad de la vulnerabilidad.
- La comprobación de la compatibilidad de los parches e instalación de varios parches en todos los endpoints afectados.
Es extremadamente importante para la seguridad de la red contar con una estrategia de gestión de parches oportuna y eficaz, ya que las versiones de los parches se basan en vulnerabilidades conocidas. Por ello, el riesgo derivado del uso de software obsoleto es aún mayor, ya que los adversarios pueden identificar y aprovechar las debilidades de los sistemas con mayor facilidad.
Gestión de vulnerabilidades
La gestión de vulnerabilidades es el proceso continuo y periódico de identificación, evaluación, notificación, gestión y corrección de las vulnerabilidades cibernéticas en los endpoints, cargas de trabajo y sistemas. Normalmente, un equipo de seguridad utilizará una herramienta de gestión de vulnerabilidades para detectarlas y empleará distintos procesos para parchearlas o corregirlas.
Un programa robusto de gestión de vulnerabilidades utiliza la inteligencia sobre amenazas y el conocimiento de las operaciones de TI y empresariales para priorizar los riesgos y abordar las vulnerabilidades lo antes posible.
Uso de un firewall de aplicaciones web (WAF)
Un firewall de aplicaciones web (WAF, Web Application Firewall) es un dispositivo de seguridad diseñado para proteger las aplicaciones de las organizaciones mediante el filtrado, la monitorización y el análisis del tráfico del protocolo de transferencia de hipertexto (HTTP) y del protocolo seguro de transferencia de hipertexto (HTTPS) entre la aplicación web e Internet.
Un WAF actúa como proxy inverso y protege la aplicación frente a solicitudes maliciosas antes de que lleguen al usuario o a la aplicación web. Los WAF, que forman parte de una estrategia de ciberseguridad integral, contribuyen a proteger la organización frente a diversos ataques contra la capa de aplicaciones más allá de los ataques de día cero, como los scripts entre sitios (XSS), las inyecciones SQL, los ataques de denegación de servicio (DoS) y los ataques de denegación de servicio distribuido (DDoS).
La solución de CrowdStrike para las vulnerabilidades de día cero
Para detectar y mitigar eficazmente los ataques de día cero, se necesita una defensa coordinada, que incluya tanto tecnología de prevención como un plan de respuesta exhaustivo en caso de ataque. Las organizaciones pueden prepararse para estos sucesos invisibles y dañinos implementando una solución completa de seguridad para endpoints que combine tecnologías como antivirus de nueva generación (NGAV), detección y respuesta para endpoints (EDR) e inteligencia sobre amenazas.
Para optimizar la defensa, las organizaciones deben implementar la mejor tecnología de prevención en el punto de ataque, además de tener un plan para los peores escenarios. Así, si un ciberdelincuente logra ingresar a la red, el equipo de seguridad tendrá las herramientas, los procesos y la tecnología necesarios para mitigar el evento antes de que se produzca un daño real.
CrowdStrike Falcon® Spotlight aprovecha la plataforma de gestión única y el agente ligero de CrowdStrike para brindar a las organizaciones acceso a la información de evaluación de vulnerabilidades. El sensor proporciona resultados en tiempo real en sistemas Windows, Linux y Mac protegidos, sin necesidad de realizar análisis del sistema que consuman mucho tiempo y generen un gran impacto, ni de contar con ningún hardware de red.
Venu Shastri es un experimentado especialista en marketing de productos de ciberseguridad e identidad y ocupa el cargo de Director of Product Marketing en CrowdStrike para la protección unificada de endpoints e identidades. Con más de una década de experiencia en puestos de identidad, marketing de productos y gestión en Okta y Oracle, Venu cuenta con una patente estadounidense sobre autenticación sin contraseña. Con anterioridad, Venu cofundó y fomentó la gestión de productos para una startup de software social. Vive en Raleigh, Carolina del Norte, y obtuvo un máster en dirección y administración de empresas en la Universidad de Santa Clara y una certificación ejecutiva en el MIT Sloan.
