La vulnerabilidad Krack WPA2

La vulnerabilidad Krack WPA2

SOBRE LA VULNERABILIDAD KRACK WPA2

Actualmente WPA2 es el protocolo que aporta una mayor seguridad en redes WiFi y recientemente se hizo pública información referente a ciertas debilidades en este protocolo.

Estas debilidades se han bautizado con el nombre de KRACK (key reinstallation attacks).

El alcance de dichas debilidades depende de la propia configuración de la red WiFi y de la implementación de los distintos fabricantes. Prácticamente todo dispositivo WiFi que implemente de manera correcta el protocolo está afectado.

CONSECUENCIAS DE KRACK

El alcance de esta vulnerabilidad puede permitir:

  • Descifrar tráfico de la red WiFi (permitiendo secuestrar conexiones TCP, capturar información sensible si los protocolos de transporte no usan cifrado, por ejemplo, HTTP en lugar de HTTPS, etc.)
  • Reproducir tramas de broadcast/multicast
  • Inyectar tráfico en la red WiFi (sólo TKIP o GCMP)
  • Forzar a utilizar una clave de cifrado predecible (sólo Android 6.0+ y Linux)

LO BUENO

  • Los fabricantes deberían asumir responsabilidad del problema y corregirlo mediante las actualizaciones pertinentes

LO MALO

  • Muchos dispositivos no dispondrán de una forma sencilla de aplicar actualizaciones
  • Mucha variedad de dispositivos, puede no ser sencillo encontrar actualización para todos los dispositivos
  • El ataque afecta a puntos de acceso y clientes, es importante actualizar ambas partes. Actualizar solo una de las partes no evita el problema

LO MÁS MALO

  • Ataques a plataformas Android 6.0+ son muy fáciles de realizar
  • Dispositivos IoT pueden no recibir actualización nunca

RECOMENDACIONES

  • Aplicar actualizaciones en el firmware de los puntos de acceso que solucionen el problema
  • Utilizar únicamente como protocolo/cifrado WPA2/AES-CCMP, lo cual minimiza el impacto del problema
  • Aislar las redes WiFi y evitar el uso de protocolos en claro en dichas redes, al menos, para acceso a recursos internos de la compañía. Generalmente se recomienda que los usuarios que trabajen por WiFi, lo hagan mediante VPN
  • Aplicar actualizaciones en los sistemas operativos (especialmente importante en plataformas Linux y Android 6.0+)
  • En dispositivos Android 6.0+, deshabilitar la WiFi hasta disponer de un parche que solucione el problema

LO QUE NO SE PUEDE HACER

  • Obtener la clave WPA
  • Inyectar paquetes (si se utiliza AES-CCMP)

Fuente: https://github.com/kristate/krackinfo

Para más información puedes contactar con nosotros en info@open3s.com.

Splunk Insights for Ransomware

Splunk Insights for Ransomware

Today, we have seen yet another wave of ransomware attacks, similar in nature to the wannacry attacks from May 2017, sweep across organizations around the globe. Splunk Blog on Petya Ransomware Attacks

Splunk can help you:

  • To quickly detect & investigate ransomware attacks
  • Rapidly find & visualize systems that are not patched and are vulnerable to these attacks
  • Provide holistic security analytics & monitoring across the business

Splunk Insights for Ransomware is a new offering for organizations enabling them to rapidly take an analytics-driven approach to managing ransomware threats

(más…)

Proofpoint and Open3s strongly encourages customers to verify the following on their systems.

Several organizations have been impacted today by the ransomware known as Petya,  or Petrwrap.   At this time, the distribution vector is still unconfirmed but it appears to be spreading via network similar to WannaCry, although the capacity for an email vector exists.  Like WannaCry, this Petya outbreak appears to potentially be leveraging SMB network protocols to spread itself.

 

Proofpoint strongly encourages customers to verify the following on their systems. 

    (A)  Ensure that the .exestrip rule is enabled in PPS; this will stop any .zip/.js or inbound raw executables in email.

    (B)  Enabling blocking of password-protected compressed files is also suggested, at least during this outbreak period

    (C)  Proofpoint TAP customers have an additional layer of protection against other potential email vectors, as URL-based or office-document-based encapsulation will be subject to behavioral analysis by TAP. 

    (D)  Ensure systems are patched against the vulnerability described in bulletin MS17-010 (allows the execution of remote commands through Samba / SMB). It is unconfirmed that this stop the new Petya outbreak, but patching will mitigate risk of infections from residual WannaCry activity.

    (E)  Deploying Proofpoint ET signatures for IDS, which we have verified will enable identification and blocking of network command & control / phone-home and worm activity by this ransomware

As always, please report any confirmed “false negatives” (eg, threats that appear to have used a Proofpoint-protected vector to gain entry) immediately — but note that at this time, we have no reports of such events at Proofpoint customers.

UPDATE:

(A)  What is the Payload?

While there has been some debate in the research community over whether the payload is “Petya”, or “Petya-like”, there seems to be common agreement that the payload is ransomware that most likely encrypts the Master Boot Record (like Petya). 

 

(B)  What is the distribution mechanism?

The ransomware package appears to attempt both the EternalBlue SMB exploit as well as Windows utilities PsExec (“a Telnet alternative”) and Windows Management Instrumentation Command-line (WMIC) (“a command-line and scripting interface”) for distribution and initiation.

 

While there are no confirmed reports of transmission via email, there are currently large email campaigns distributing “KaroCrypt”; Proofpoint is actively blocking these as well.   Like the confusion between WannaCry and Jaff, we anticipate some confusion between KaroCrypt and this Petya-like malware.

 

(C)  Where did it start?

There are widely reported but unconfirmed attribution (including the me-doc website) suggesting that the Ukranian accounting software system “MeDoc” was compromised to distribute the malware via standard update mechanisms last night.  Once introduced into an intranet, the mechanisms in (B) would rapidly spread the malware to other connected systems that were ether unpatched for EternalBlue or left open for PsExec and WMIC.

 

(D)  How do I detect and block this?

The guidance issued in the original bulletin still holds; specifically, for network detection, ensure you have updated IDS signatures

2012063:  ET NETBIOS Microsoft SRV2.SYS SMB Negotiate ProcessID Function Table Dereference  and

2024297: ET CURRENT_EVENTS ETERNALBLUE Exploit M2 MS17-010

 

Please note that this is still an active investigation; details are still being verified and are subject to change.

Arista Networks, Splunk y ProofPoint. Soluciones necesarias para la empresa.

Actualmente la cantidad de datos están creciendo muy rápido, de una forma exponencial. Los datos crecen en todas las partes del mundo día a día. Cada vez hay más dispositivos que producen y consumen datos y sobre estos dispositivos miles de aplicaciones.

Básicamente esta situación nos plantea un reto, ya que todos estos datos han de ser almacenados , accedidos, distribuidos y protegidos desde múltiples plataformas dentro y fuera del datacenter.

Necesitamos soluciones rápidas, seguras, escalables y fácilmente operables. Que estamos viendo en nuestros clientes hoy en día: (más…)

WannaCry. Protección y mecanismos que habrían evitado la infección

Desde OPEN3S hemos querido estrenar el blog después de la resaca WCry / WanaCrypt0r. No lo hemos querido realizar antes puesto que había suficiente información al respecto en otros medios, por lo que hemos querido darle un enfoque algo diferente.
El enfoque que queremos dar a este artículo es desde el punto de vista de la protección y mecanismos que habrían evitado la infección tanto del paciente 0 como consecución de ejecución del exploit.
En esta entrada queremos resumir el funcionamiento de WannaCry así como analizar los mecanismos de protección que habrían sido efectivos contra dicha amenaza.

RESUMEN WANNACRY

Hasta el momento no hay evidencias claras de la infección del paciente 0, pero parece bastante claro que no ha seguido la vía habitual del correo electrónico.
El método de propagación, tanto en intranet como internet, parece haber sido mediante el uso de MS17-010.
A continuación, se muestra de manera muy resumida el funcionamiento del malware:

  • 1. Beacon inicial a https://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • 2. Si el paso anterior tiene éxito, el proceso finaliza
  • 3. Si el paso 1 no tiene éxito, se ejecutan 2 procesos diferentes:
  • a. Funcionalidad ransomware
  • b. Funcionalidad gusano, mediante el uso de MS17-010 para distribuir y ejecutar el malware

(más…)

Evolución de las vías de infección del Ransomware y cómo detenerlo

De un tiempo a esta parte, los ataques e infecciones por ransomware crecen significativamente. Es por ello, que las medidas de protección han ido evolucionando e incorporando nuevos mecanismos y técnicas de análisis.

Diferentes protecciones en distintas capas

Estos mecanismos incluyen protecciones en distintas capas, siendo habitual al menos un primer control genérico/perimetral (FW), un segundo control específico de aplicación (WAF, MTA,…) y una última protección de endpoint (en los puestos de trabajo).

Las tecnologías utilizadas son similares en todos los niveles, por ejemplo:

– AntiVirus,
– Sandboxing,
– IDS / IPS,
– Filtrado de tipos de fichero no permitidos (por ejemplo, EXE en los correos, o ZIPs con contraseñas,…).

El email es cada vez más importante

Dado que la principal vía de infección para este tipo de amenazas es el correo electrónico, los atacantes utilizan técnicas como:

– ZIP adjunto en un correo con un JS dentro: Este tipo de amenazas se bloquean fácilmente mediante bloqueo de extensiones ejecutables
– ZIP con contraseña: Este tipo de amenazas puede bloquearse por políticas de ZIPs con contraseña
– Documento de Office con macro que descarga y ejecuta el ransomware: Este tipo de amenazas se identifica por comportamiento mediante técnicas de sandboxing y se bloquea. (más…)