Cuando llegue un ataque de día cero, sea inteligente acerca de qué máquinas está parchando primero

Por: Ariel Zeitlin

Introducción

El martes de parches de Microsoft de mayo  2021 abordó 55 vulnerabilidades, incluida una vulnerabilidad de ejecución remota de código de pila de protocolo HTTP crítica de día cero rastreada como CVE-2021-31166. Este parche corrige un error que podría permitir que un atacante no autenticado ejecute código de forma remota simplemente enviando un paquete especialmente diseñado a un servidor afectado. Esto es lo que hace que este error sea ¨wormable¨, lo que significa que podría pasar de una víctima a otra.

La implementación de parches de seguridad es una de las tareas más difíciles para una organización de TI de cualquier tamaño. Incluso después de su ejecución, no siempre puede estar seguro de que todas las máquinas hayan estado en funcionamiento en el momento de la implementación, lo que expone estas máquinas y toda la red a riesgos.

Para mitigar rápidamente el riesgo y contener la exposición a la vulnerabilidad CVE-20121-31166, divida sus máquinas en 3 grupos y aplique parches por criticidad:

1. Primero aplique parches a las máquinas de mayor riesgo: máquinas que no están parchadas y que están expuestas a Internet.

2. Bloquear el puerto 443 para máquinas que no están parchadas pero que tampoco usan 443. Este suele ser un grupo bastante grande y se puede parchar más tarde.

3. Ponga parche al  grupo de máquinas que no están parchadas, use el puerto 443 pero son internas.

Esto permite a las organizaciones enfocar el esfuerzo de parcheo de decenas de miles de servidores a algunos cientos o incluso menos, mientras controlan por completo el riesgo y la exposición.

Cómo resolver en menos de una hora.

Usaremos las tres capacidades principales de Guardicore: Insight para consultar puntos finales y servidores, Reveal mapeo de interdependencia y Policy para mitigar con políticas.

Enfréntese primero al riesgo más alto: sin parchar, expuesto a Internet (443)

  1. Con el Insight de Guardicore , escriba una consulta SQL simple para rastrear las máquinas sin parche que son vulnerables a KB5003173 (CVE-2121-31166):

Ejecute una consulta con Guardicore Insight

Insight devuelve una lista de las máquinas sin parchear en segundos:

Lista de máquinas sin parchear

2. Ponga una etiqueta en estas máquinas sin parche, en este ejemplo usamos KB5003173: Sí

Nota: También puede hacer que la consulta y el etiquetado sean periódicos, por lo que si aparecen nuevas máquinas sin parchar, se etiquetarán automáticamente.

  1. Utilice Reveal para crear un mapa y filtrarlo por la etiqueta que acabamos de crear y por las máquinas que están expuestas a Internet (a través del puerto 443). Las máquinas que presentan mayor riesgo son las que no están parchadas y reciben conexiones de Internet:

A continuación, trate con máquinas sin parches que no utilizan el puerto 443

Una vez que validamos que no hay máquinas de alto riesgo, es decir, sin parches y expuestas a Internet, podemos tratar con el segundo grupo de máquinas.

  1. Un buen punto de partida sería encontrar todas las máquinas que no están parchadas pero que tampoco se comunican por encima de 443. Para ellas, podemos simplemente bloquear este puerto para eliminar el riesgo y parcharlas más tarde. Esto se puede lograr filtrando el mapa nuevamente por NOT Puerto de destino 443 y etiquetándolos como NotUsing443.
  1. Luego, agregue una regla de Anulación de bloque simple como se muestra a continuación:

Una sola política bloquea el acceso a las máquinas que no utilizan el puerto 443

Por último, parchee las máquinas vulnerables (sin parchear) que usan 443 pero que no están expuestas a Internet

Parchee las máquinas que usan 443 pero que son internas (no están expuestas a Internet). Una vez que se hayan parchado todas las máquinas, puede eliminar las etiquetas y las reglas.

En conclusión:

Adoptar este enfoque gradual para la aplicación de parches proporciona una forma sencilla y muy eficaz de abordar un problema de seguridad importante con un enfoque consciente del riesgo.

¡Habla con nosotros para más información!

Share on twitter
TWEET
Share on linkedin
SHARE

¡Síganos!

Vea a Centra en acción

Guardicore: Gran agilidad. Seguridad más fuerte. Funciona en cualquier lugar.