Como sabemos, a partir del 14 de enero de 2020, una parte considerable de las computadoras de escritorio y servidores Windows en todo el mundo ya no estarán protegidas por Microsoft. La próxima vez que un atacante encuentre una vulnerabilidad que afecte a estas máquinas, no se proporcionará ningún parche y los sistemas empresariales quedarán desprotegidos. Esta advertencia se aplica a Windows Server 2008 R2, Windows Server 2008 y Windows 7.
De acuerdo a Daniel Goldberg, Investigador de Seguridad de Guardicore el impacto potencial es difícil de estimar, pero podría ser de gran alcance. Algunas estimaciones sugieren que Windows Server 2008 y 2008 R2 constituyen casi un tercio de todas las máquinas de servidor en todo el mundo. Y a pesar de tener más de una década, estos sistemas operativos todavía se usan ampliamente.
“Microsoft ofrece a las organizaciones algunas opciones para manejar el final de la vida útil de estos sistemas operativos. La primera y mejor opción es actualizar a Windows 10 y Windows Server 2016, ambos con muchos años de soporte para el futuro. Alternativamente, las organizaciones pueden pagar a Microsoft por soluciones de seguridad personalizadas, una oferta que probablemente sea muy costosa. Dependiendo de la relación comercial con Microsoft y el sistema operativo exacto, el costo puede ser alto, de más de $200 dólares al año por máquina. Y aunque Microsoft ofrecerá este soporte extendido de forma gratuita para las empresas que migran a Azure, esa migración en sí misma conlleva implicaciones adicionales.
Sin embargo, la realidad es que muchas organizaciones no pueden actualizar inmediatamente sus sistemas no compatibles por una variedad de razones. Entre ellos se encuentran regulaciones complicadas y requisitos de certificación, falta de presupuesto o software heredado.
Además, este proceso suele ser largo, lo que expone a la red a riesgos. Por esta razón, se necesitan soluciones que permitan securizar los sistemas durante este periodo de transición, que puede durar años.
Las organizaciones en esta situación no deben entrar en pánico; ya que aún pueden mitigar los riesgos, incluso si no actualizan o migran los sistemas de inmediato. Al tomar algunas precauciones adicionales, las organizaciones aún pueden proteger eficazmente sus sistemas, limitando la exposición, a medida que continúan evaluando el mejor curso de acción a largo plazo¨, Comentó Goldberg.
A continuación 5 recomendaciones de refuerzo
● Para comenzar, alentamos a las organizaciones a que apliquen guías de refuerzo de mejores prácticas para Windows Server 2008 R2 y Windows 7. Microsoft publica regularmente tales pautas como parte del analizador de seguridad de línea de base de Microsoft.
● Siempre que sea posible, deshabilite SMBv1 y habilite la firma de mensajes SMBv2. Esto evitará muchos ataques de movimiento lateral, incluidos todos los ataques que utilizan la familia de vulnerabilidades EternalBlue y muchas técnicas que abusan de la retransmisión NTLM.
● Cambie la configuración de autenticación de red para bloquear el uso de métodos de autenticación obsoletos y débiles, como NTLMv1 y LanMan. Esto evitará muchos ataques de robo de tokens empleados por herramientas de seguridad ofensivas populares como Mimikatz.
● Para ayudar a las investigaciones sobre futuros incidentes de seguridad y reducir el riesgo de registros alterados, recomendamos reenviar todos los registros de eventos a un servidor centralizado y reforzado. Microsoft proporciona orientación para esto y Palantir proporciona muchos ejemplos y programas de ayuda.
● Segmente para la seguridad: aproveche la segmentación para limitar las opciones de ataque para el movimiento lateral. Al separar la red en partes lógicas, las organizaciones pueden reducir la superficie de ataque de su red y disminuir el riesgo de ser comprometidas. Por ejemplo, en la mayoría de las redes empresariales, las máquinas de escritorio no necesitan comunicarse entre sí. Con la microsegmentación, puede bloquear fácilmente el tráfico entre máquinas dentro del mismo segmento evitando movimientos laterales rápidos.
“Si bien el uso de sistemas no compatibles nunca es una práctica recomendada, con una planificación cuidadosa y una combinación de herramientas, puede reducir significativamente el riesgo sobre el manejo de estos sistemas obsoletos mientras planifica una actualización¨, concluyó Daniel Goldberg.