Escanear para identificar computadoras Windows afectadas por vulnerabilidades

El Departamento de Seguridad de la Información (Ministerio de Información y Comunicaciones) acaba de enviar un aviso sobre 16 vulnerabilidades de seguridad graves y de alto nivel en los productos de Microsoft a las unidades especializadas de TI y seguridad de la información de los ministerios, sucursales y localidades; corporaciones, empresas estatales, bancos comerciales con acciones conjuntas e instituciones financieras.

Las vulnerabilidades antes mencionadas fueron advertidas por el Departamento de Seguridad de la Información con base en la evaluación y análisis de la lista de parches de abril de 2024 anunciada por Microsoft con 147 vulnerabilidades existentes en los productos de esta empresa tecnológica.

Entre las 16 vulnerabilidades de seguridad recién advertidas, hay 2 vulnerabilidades que los expertos recomiendan que necesitan atención especial, que son: Vulnerabilidad CVE-2024-20678 en Remote Procedure Call Runtime - RPC (un componente de Windows que facilita la comunicación entre diferentes procesos en el sistema a través de la red - PV), que permite a los atacantes ejecutar código de forma remota; La vulnerabilidad CVE-2024-29988 en SmartScreen (una característica de seguridad integrada en Windows) permite a los atacantes eludir el mecanismo de protección.

La lista de vulnerabilidades de seguridad en productos de Microsoft advertidas esta vez también incluye 12 vulnerabilidades que permiten a los atacantes ejecutar código remoto, entre ellas: 3 vulnerabilidades CVE-2024-21322, CVE-2024-21323, CVE2024-29053 en 'Microsoft Defender for IoT'; Vulnerabilidad CVE-2024-26256 en la biblioteca de código abierto Libarchive; Vulnerabilidad CVE-2024-26257 en hojas de cálculo de Microsoft Excel; 7 vulnerabilidades CVE-2024-26221, CVE-2024-26222, CVE2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 y CVE2024-26233 en 'Windows DNS Server'.

Además, también se recomienda a las unidades que presten atención a dos vulnerabilidades que permiten a los sujetos realizar ataques de suplantación de identidad, incluida la vulnerabilidad CVE-2024-20670 en el software Outlook para Windows que expone el 'hash NTML' y la vulnerabilidad CVE-2024-26234 en el controlador de proxy.

El Departamento de Seguridad de la Información recomienda que las agencias, organizaciones y empresas revisen, verifiquen e identifiquen las computadoras que utilizan sistemas operativos Windows que probablemente estén afectados y actualicen rápidamente los parches para evitar el riesgo de ataques cibernéticos. El objetivo es garantizar la seguridad de la información de los sistemas de información de las unidades, contribuyendo a garantizar la seguridad del ciberespacio de Vietnam.

También se recomienda que las unidades refuercen la vigilancia y preparen planes de respuesta cuando detecten indicios de explotación y ciberataques. Además de ello, monitorear periódicamente los canales de alerta de las autoridades y grandes organizaciones en materia de seguridad de la información para detectar oportunamente riesgos de ciberataques.

También en abril, el Departamento de Seguridad de la Información advirtió y ordenó a las unidades revisar y corregir la vulnerabilidad de seguridad CVE-2024-3400 en el software PAN-OS. El código de explotación de esta vulnerabilidad ha sido utilizado por el sujeto para atacar los sistemas de información de muchas agencias y organizaciones. Se recomienda a las unidades que utilizan el software PAN-OS que actualicen el parche para las versiones afectadas publicado el 14 de abril.

Priorizar la atención a los riesgos potenciales en el sistema

Los expertos siempre consideran que atacar sistemas explotando vulnerabilidades de seguridad de software y soluciones tecnológicas de uso común es una de las principales tendencias de ciberataques. Los grupos de ciberataques no solo explotan vulnerabilidades de día cero (vulnerabilidades que no han sido descubiertas) o nuevas vulnerabilidades de seguridad anunciadas por las empresas, sino que también buscan activamente vulnerabilidades de seguridad previamente descubiertas para explotarlas y usarlas como trampolín para atacar sistemas.

Sin embargo, en realidad, el Departamento de Seguridad de la Información y las agencias y unidades que operan en el campo de la seguridad de la información emiten regularmente advertencias sobre nuevas vulnerabilidades o nuevas tendencias de ataque, pero muchas agencias y unidades no han prestado realmente atención a actualizarlas y manejarlas con prontitud.

Al compartir un caso específico de apoyo a una organización que fue atacada a finales de marzo, el experto Vu Ngoc Son, director técnico de NCS Company, comentó: «Tras analizarlo, nos dimos cuenta de que el incidente debería haberse gestionado antes, ya que se había advertido a la organización que la cuenta de la recepcionista estaba comprometida y debía gestionarse de inmediato. Como consideraron que la cuenta de la recepcionista no era importante, la organización la ignoró y no la atendió. El hacker usó la cuenta de la recepcionista, explotó la vulnerabilidad, se apropió de los derechos de administrador y atacó el sistema».

Las estadísticas compartidas por el Departamento de Seguridad de la Información a finales del año pasado mostraron que más del 70% de las organizaciones no han prestado atención a la revisión y manejo de actualizaciones y parches de vulnerabilidades y debilidades que han sido advertidas.

Frente a la situación anterior, en los 6 grupos de tareas claves recomendadas a los ministerios, sucursales, localidades, agencias, organizaciones y empresas para enfocarse en implementar en 2024, el Departamento de Seguridad de la Información solicitó a las unidades priorizar la resolución de los riesgos potenciales o los riesgos que ya están presentes en el sistema.

“Las unidades deben abordar los riesgos conocidos y existentes en el sistema antes de considerar invertir para protegerse de nuevos riesgos. Revisar y evaluar periódicamente la seguridad de la información según la normativa y detectar amenazas para detectar y eliminar riesgos en el sistema es fundamental y debe realizarse con regularidad”, enfatizó el representante del Departamento de Seguridad de la Información.

El Ministerio de Información y Comunicaciones establecerá una plataforma para apoyar la alerta temprana de riesgos de seguridad de la información . Se espera que la plataforma para la gestión, detección y alerta temprana de riesgos de seguridad de la información, cuya creación está prevista para 2024, notificará automáticamente a las agencias y organizaciones sobre los riesgos, vulnerabilidades y debilidades en el sistema de información de la unidad.