Como resultado de una investigación exhaustiva sobre los ataques planificados de Duqu, Symantec ha confirmado que una vulnerabilidad Microsoft de día cero, no conocida con anterioridad, fue usada como vehículo para afectar a los sistemas elegidos para estos ataques. Esta actualización está entre otros hallazgos claves hechos por Symantec y CrySys, y se encuentra detallada en el último post del blog de Symantec.
La vulnerabilidad del sistema Windows, fue expuesta a través de un documento de Word elaborado maliciosamente, que permitía a los atacantes instalar los códigos binarios de Duqu, siendo este el componente faltante para instalar la amenaza que se discutió anteriormente. Asimismo, cabe destacar que este es solo uno de los múltiples métodos de instalación que vendrían utilizando los atacantes para infectar computadoras en diferentes organizaciones.
Adicionalmente, otros hallazgos importantes incluyen la evidencia de comandos enviados a Duqu para transmitir dentro de las redes infectadas, que consiste en la habilidad de comunicarse con sistemas que no estén conectados a internet a través de métodos de comunicación peer-to-peer. También se recuperó una muestra adicional de Duqu, diseñada para comunicarse con un segundo comando y servidor de control.
Mejores Prácticas
Las siguientes recomendaciones deben ser tomadas en cuenta por organizaciones e individuos para protegerse frente a algún ataque:
· No se deben abrir datos adjuntos que no se estén esperando.
· Usar técnicas de protección de datos para monitorear una potencial exposición de información confidencial y posibles intentos de acceso no autorizados.
· Asegurarse que los productos de seguridad estén actualizados.
· Usar control de equipos para prevenir la movilidad de los mismos entre redes.
· Manejar de manera estricta, y en algunos casos bloquear, servidores que contengan información de propiedad intelectual, para así prevenir que aplicaciones, como Duqu, se infiltren en las organizaciones.
· Tener a los proveedores de sistemas SIEM o de servicios de seguridad controlada (MSS), en monitoreo de la señalización de las direcciones IP de los servidores C&C para bloquear las comunicaciones en caso de un posible ataque.
· Symantec apoya estas mejores prácticas con el fin de salvaguardar claves de acceso confidenciales. Para asegurar estas claves, también recomendamos lo siguiente:
– Separate Test Signing and Release Signing – Es una mejor practica la instalación de infraestructuras paralelas usando certificados de pruebas generados por una autoridad interna. Esto asegura que los certificados de ingreso oficial y carácter crítico usados para ingreso oficial, no sean almacenados en sistemas que estén siendo usados para proyectos de desarrollo de software R&D, esto reduce la probabilidad que la información almacenada esté comprometida.
-Módulos de Hardware Criptográficos- Las claves almacenadas en los softwares de computadoras de uso general es susceptible a manipulación de terceros. Por ello es más seguro almacenarlas en equipos con hardwares criptográficos que son más confiables y a prueba de posibles brechas de seguridad.
-Seguridad Física- La seguridad física es un elemento clave para que exista seguridad. Si es posible que un tercero, o en todo caso un infiltrado, pueda tener acceso innecesario a claves confidenciales para ingresar a información, entonces todo el trabajo de criptografía ha sido en vano. Cámaras, guardias, e incluso scanners de huellas digitales son medidas adicionales que resultan muy apropiadas para proteger bienes críticos y deben ser tomadas con la seriedad que amerita el caso.
(Para información adicional, por favor visiten el Post Para Asegurar Claves Privadas por Fran Rosch.)