Resumen de seguridad de enero de 2021

El resumen de enero de SSL.com incluye nuevas recomendaciones de NSA DoH, mejoras de seguridad de Apple, no más Flash y el hack de Malwarebytes.

Más información

¿Quieres seguir aprendiendo?

Suscríbase al boletín de SSL.com, manténgase informado y seguro.

¡Bienvenido a la edición de enero del resumen de seguridad de SSL.com! El primer mes de 2021 ha estado bastante lleno de acción, en cuanto a noticias. Y eso incluye noticias sobre seguridad digital y fallas de cifrado, por lo que reunimos algunas historias de año nuevo para usted:

La NSA emite recomendaciones de DNS cifrado empresarial

Este mes, la Agencia de Seguridad Nacional emitió nuevas recomendaciones [Enlace PDF] sobre DNS sobre HTTPS (DoH) en entornos empresariales. Como tenemos mencionado antes, DoH evita la escucha clandestina de consultas y respuestas de DNS, que históricamente se han enviado como texto sin formato.

La implementación de DoH presenta desafíos especiales para las redes empresariales. La NSA comunicado de prensa sobre las recomendaciones afirman que:

Incluso si la empresa no los adoptó formalmente, los navegadores más nuevos y otro software pueden intentar usar DNS encriptados de todos modos y eludir las defensas tradicionales basadas en DNS de la empresa ... Si bien es bueno para garantizar la privacidad en las redes domésticas, DoH puede presentar riesgos para las redes empresariales si no es así. t implementado apropiadamente.

...

La NSA recomienda que el tráfico de DNS de una red empresarial, cifrado o no, se envíe solo al sistema de resolución de DNS empresarial designado. Esto garantiza el uso adecuado de los controles de seguridad empresariales esenciales, facilita el acceso a los recursos de la red local y protege la información de la red interna. Todos los demás solucionadores de DNS deben desactivarse y bloquearse.

El documento también advierte que DoH "no es una panacea" e insta a los administradores a permanecer atentos a una falsa sensación de seguridad: "DoH no garantiza la protección contra la ley de amenazas cibernéticasos y su capacidad para ver hacia dónde se dirige un cliente en la web ". La agencia también señala que, si no se implementa con cuidado, el Departamento de Salud puede interferir con la inspección de tráfico relacionada con la seguridad de las propias empresas.

Conclusión de SSL.com: Habilitación de DoH en su navegador es un potenciador de privacidad sencillo para los usuarios domésticos, pero el protocolo viene con advertencias en las aplicaciones de red empresarial.

Apple elimina la "función" de derivación del firewall en macOS

Recuerda camino de regreso Noviembre ¿Cuándo Apple tomó la impopular decisión de permitir que sus propias aplicaciones eludieran los firewalls y otras aplicaciones de terceros? Bueno, este año, Apple ha decidido no volver a hacer eso. Como informó Ravie Lakshmanan por Las noticias de Hacker, el problema llamó la atención por primera vez en el otoño, después del lanzamiento de Big Sur, y provocó advertencias de que la opción "estaba lista para el abuso ... un atacante podría aprovecharla para exfiltrar datos confidenciales llevándolos a aplicaciones legítimas de Apple incluidas en la lista y luego pasar por alto los firewalls y el software de seguridad ". El artículo cita a Patrick Wardle, investigador principal de seguridad con JAMF, sobre la marcha atrás de Apple: "Después de mucha mala prensa y muchos informes de errores / comentarios a Apple por parte de desarrolladores como yo, parece que las mentes más sabias (más conscientes de la seguridad) en Cupertino prevalecieron".

Conclusión de SSL.com: Nos alegra que Apple haya eliminado esta "función" de macOS. Además de dificultar las cosas para quienes desean controlar y monitorear su propio tráfico de red, estaba listo para ser explotado por actores maliciosos.

Adobe Flash finalmente ha terminado

Como nuestros navegadores nos han estado advirtiendo desde siempre, Adobe Flash se acabó. O, como el muy de Simon Sharwood titular dramático proclama en The Register, "Eso es todo. Se acabó. Realmente se acabó. A partir de hoy, Adobe Flash Player ya no funciona. Eran libres. Podemos irnos ... Después de Flashpocalypse, tropezamos afuera, esperando que nadie vuelva a crear software tan inseguro como ese."A partir del 12 de enero de 2021, cualquier persona que intente acceder al contenido de Flash Player de Adobe verá un" aviso de muerte "que lleva a una" página de información general de fin de vida útil "donde," Adobe recomienda encarecidamente a todos los usuarios que desinstalen Flash Player de inmediato para ayudar a proteger sus sistemas ".

Como el artículo de Register elogia a Flash, el software fue una herramienta invaluable durante décadas hasta que su inseguridad se volvió insoportable:

En 2005, Adobe, que para entonces ya se había dado cuenta de que el contenido en línea iba a ser más grande que la autoedición, adquirió Macromedia en parte para tener en sus manos Flash.

Hacerlo ayudó a Adobe a consolidar su papel como el estándar de facto para las herramientas creativas. Pero Adobe también sufrió una carga de seguridad cada vez mayor porque Flash no estaba bien construido. Los piratas informáticos notaron que el complemento era el queso suizo de la seguridad informática, lleno de agujeros, y explotaron el software sin piedad para infectar a las víctimas de todo el planeta con malware.

Después de años de ataques y el surgimiento de alternativas, Adobe anunció la desaparición de Flash en julio de 2017 y dijo que el soporte se retirará el 31 de diciembre de 2020.

Y ahora la compañía ha cumplido esa promesa, con una "bomba lógica" en las versiones recientes de Flash Player que han impedido que el código muestre contenido desde el 12 de enero. Incluso con la amplia advertencia, la muerte de Flash causó algunos problemas. Significativa y extrañamente, la ciudad de Dalian en el norte de China estaba ejecutando su sistema ferroviario con Flash. Estuvo inactivo durante 20 horas antes de que se volviera a ejecutar en una versión pirateada.

Conclusión de SSL.com: Esperamos que ninguno de nuestros usuarios siga confiando en Flash para la animación y los sitios web interactivos (o ferrocarriles), pero ahora se ha ido para siempre. Descansa en paz.

MalwareBytes afectados por piratas informáticos de SolarWinds

En diciembre de 2020, el ataque SolarWinds hizo grandes titulares, cuando los piratas informáticos pudieron utilizar su sistema de distribución de software para infectar las redes de los clientes. Este mes, la firma de seguridad Malwarebytes reveló que estaba comprometida por el mismo grupo, que comprometió al menos a una docena de agencias gubernamentales y empresas privadas de Estados Unidos. De acuerdo a un artículo por Dan Goodin en Ars Technica, los investigadores han descubierto que los piratas informáticos tenían acceso a algunos correos electrónicos internos de la empresa y "no hay evidencia de acceso no autorizado o compromiso en ningún entorno de producción de Malwarebytes". Sin embargo, eso no significa que el ataque fuera intrascendente. Del artículo:

"En nuestro caso particular, el actor de amenazas agregó un certificado autofirmado con credenciales a la cuenta principal del servicio", escribió el investigador de Malwarebytes, Marcin Kleczynski. "Desde allí, pueden autenticarse con la clave y realizar llamadas a la API para solicitar correos electrónicos a través de MSGraph".

La semana pasada, el proveedor de administración de correo electrónico Mimecast también dijo que los piratas informáticos comprometieron un certificado digital que emitió y lo usaron para apuntar a clientes seleccionados que lo usan para cifrar los datos que enviaron y recibieron a través del servicio basado en la nube de la compañía. Si bien Mimecast no dijo que el compromiso del certificado estaba relacionado con el ataque en curso, las similitudes hacen que sea probable que los dos ataques estén relacionados.

Según el artículo, la violación de Malwarebytes es la cuarta vez que una empresa revela que fue atacada por los piratas informáticos patrocinados por el estado nacional responsables del incidente de SolarWinds. Además, varios organismos gubernamentales, que al parecer incluyen los Departamentos de Defensa, Justicia, Tesoro y los Institutos Nacionales de Salud, también fueron blanco de los agentes.

Conclusión de SSL.com: Los certificados digitales brindan lo opuesto a la seguridad cuando los intrusos obtienen acceso a claves privadas o privilegios administrativos para configurar los sistemas para que confíen en credenciales arbitrarias.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.