Más de dos tercios (67%) de las organizaciones siguen ejecutando un protocolo de Windows inseguro, responsable en gran medida de los infames ataques WannaCry y NotPetya de 2017 y 2018, según una nueva investigación.
El proveedor de seguridad ExtraHop utilizó sus capacidades de detección y respuesta de red (NDR) para analizar los metadatos anónimos de un número no especificado de redes de clientes, con el fin de comprender mejor dónde pueden ser vulnerables a los protocolos obsoletos.
El informe de seguridad resultante reveló el uso generalizado de la versión 1 de Server Message Block (SMBv1), que contenía una vulnerabilidad de desbordamiento de búfer que fue explotada por EternalBlue, desarrollada por la NSA, y otras herramientas de ataque relacionadas.
Éstas fueron utilizadas posteriormente por actores de la amenaza norcoreana para WannaCry y por operativos estatales rusos para su operación NotPetya.
Este no fue el único protocolo inseguro que ExtraHop encontró. Descubrió que el 81% de las empresas todavía utilizan credenciales de texto plano HTTP, y un tercio (34%) tiene al menos 10 clientes que ejecutan NTLMv1, lo que podría permitir a los atacantes lanzar ataques de máquina en el medio (MITM) o tomar el control completo de un dominio.
El informe también advirtió que el 70% de las empresas también están ejecutando LLMNR, que puede ser explotado para acceder a los hashes de credenciales de los usuarios. Estos, a su vez, podrían ser descifrados para exponer la información de inicio de sesión, afirmó ExtraHop.
El miércoles 12 de mayo se cumplió el cuarto aniversario del ataque WannaCry, que afectó a cientos de miles de usuarios en 150 países.
Info | CiberseguridadLatam