Nuestro compromiso con la seguridad de nuestros clientes

por msft mmpc

1 noviembre de 2016


Este post del blog fue escrito por nuestro invitado  Terry Myerson Executive Vice President, Windows and Devices Group

Windows es la única plataforma que tiene el compromiso con el cliente para investigar problemas de seguridad reportados y proactivamente actualizar dispositivos afectados tan pronto como sea posible. Y nos tomamos esa responsabilidad muy en serio.

Recientemente, el grupo de 0 Información sobre amenazas de Microsoft  encontraron una actividad que fue  llamada de STRONTIUM  y que llevó a cabo una campaña de spear-phishing de bajo volumen. Los clientes que utilizan Microsoft Edge y Windows 10 edicíon de anniversary están protegidos contra las versiones de ataque en el campo. Esta campaña de ataque, originalmente identificada por el grupo de análisis de amenazas de Google, llevaba dos vulnerabilidades de Zero Day de Adobe Flash y Windows kernel de down-level* para atacar a ciertos grupos específicos de clientes.

En coordernação con Google y Adobe para investigar esta maliciosa campaña y crear un parche para el Windows kernel de down-level * y para todas las versiones de Windows que ahora están siendo analizadas y testadas por muchos participantes de la industria, y tenemos la intención de liberarlos públicamente en la próxima actualización el martes, 8 de noviembre.

Creemos que la participación de la industria de la tecnología responsable pone primero al cliente y requiere una divulgación coordinada de vulnerabilidad. La decisión de Google de dar a conocer estas vulnerabilidades antes que los parches estuvieran ampliamente disponible y es probado cómo decepcionante y pone a los clientes en un mayor riesgo.

Para resolver estos tipos de ataques sofisticados, Microsoft recomienda la actualización de todos los clientes para Windows 10, la versión de sistema operativo más segura, con protección  para consumidores y empresas en todas las capas de seguridad  . Los clientes que han instalado
Windows Defender Advanced Threat Protection (ATP) van a detectar lo atentados de ataques de STRONTIUM, gracias al análisis de detección de comportamiento genérico de ATP y actualizada información sobre amenazas.

-Terry

STRONTIUM: Una breve historia

Microsoft agrega los detalles de las actividades de la amenaza, malware, infraestructura, clases de técnicas de víctima y agresor, en grupos de actividades para mejorar la comprensión de las razones detrás de los ataques cibernéticos. STRONTIUM es un grupo de actividades que normalmente ataca a agencias gubernamentales, diplomáticas y militares de las organizaciones, instituciones, así como organizaciones del sector privado como contratistas de defensa y los institutos de investigación de políticas públicas. Microsoft ha asignado más vulnerabilidades de Zero Day a STRONTIUM que cualquier otro grupo en 2016. STRONTIUM a menudo utiliza cuentas de correo electrónico comprometida de una víctima para enviar los correos maliciosos a una segunda víctima y persistentemente persiguen objetivos específicos durante meses hasta que tienen éxito en comprometer la computadora de las víctimas. Una vez dentro, STRONTIUM se mueve lateralmente en la red de la víctima y si infiltra tan profundamente como sea posible, para garantizar el acceso y robar información sensible.

Los Exploits

STRONTIUM debe cumplir con tres objetivos para el ataque tener éxito:

  1. Explorando el Flash para obtener el control del proceso del navegador
  2. Elevar privilegios para escapar el sandbox del navegador
  3. Instalar una backdoor para facilitar el acceso a la computadora de la víctima

Microsoft tiene varias herramientas de prevención de amenazas y mitigación disponible para luchar contra estos pasos.

Explotación de Adobe Flash: CVE-2016-7855

Basado en el análisis realizado por el equipo de investigación de Windows Defender ATP y el equipo de seguridad de Microsoft Response Center (MSRC), la vulnerabilidad en Adobe Flash es utilizada por STRONTIUM para afectar el código en tiempo de ejecución de ActionScript. Adobe ha lanzado una actualización para corregir esta vulnerabilidad. Microsoft se asocia activamente con Adobe para implementar mitigaciones adicionales contra esta clase de explotación.

Elevación de privilegios

Vulnerabilidad en kernel de Windows es el objetivo de la exploración de la EoP** de STRONTIUM que afecta desde Windows Vista hasta Windows 10. La remediación estará disponible con la actualización de Windows Update. Sin embargo, antes de este ataque, Microsoft implementó más reducciones de la explotación del componente de kernel de win32k. Estas reducciones, que fueron desarrolladas basados en la investigación interna proactiva, bloquean todas las versiones de este exploit en el campo. Esto no garantiza que los atacantes no pueden encontrar una solución alternativa, pero Microsoft publicará una actualización completa pronto para resolver el problema.

Instalación de un Backdoor

Después de éxito elevación de privilegios, un backdoor es descargado, escrito en el sistema de archivos y en el proceso del navegador. Sin embargo, la DLL backdoor (junto con cualquier otro software no confiable) puede bloquear mediante la implementación de las políticas de integridad de código estricto. Microsoft
Edge nativo implementa la integridad de código  evita este paso pós-explotación. Los usuarios de Internet Explorer y otros navegadores también pueden protegerse mediante el uso de  Device Guard.

Detectando el ataque con Windows Defender ATP

La detección se realiza mediante el aprendizaje conductual y múltiples reglas de alerta de la máquina sobre diversos elementos que trabajan juntos para bloquear un ataque del STRONTIUM. Windows Defender ATP puede detectar generalmente sin ninguna firma, un proceso de varias etapas de ataque como crear bibliotecas DLL inusuales en el navegador de disco, cambios inesperados en los niveles de señal y la integridad de proceso (EoP) y la carga de bibliotecas DLL que se creó recientemente en condiciones anormales de proceso (Figura 3).

Figura 3: Detección de núcleo de Windows defensor ATP EOP ** usado por STRONTIUM

Además, la información sobre amenazas y IOCs para este ataque fueron encontrados por  Información sobre amenazas de Microsoft, y
se han agregado a Windows Defender ATP Office 365 ATP. Estas alertas junto con resumen de amenaza y con profundidad perfiles presentes en el STRONTIUM está disponible en el portal de cliente de Windows Defender ATP.

Para obtener más información, consulte  Windows Defender ATP y lea más sobre el enfoque de detección de pós-violación es un componente clave en cualquier seguridad empresarial .

Agradecimientos especiales a Neel Mehta y Billy Leonard del grupo de análisis de amenazas de Google por su asistencia en la investigación de estos temas.

* Down Level = utilizar una versión anterior del software, hardware o sistema operativo

** EoP = Elevaçào del privilegio

Original: https://blogs.technet.microsoft.com/mmpc/2016/11/01/our-commitment-to-our-customers-security/