Microsoft lanza nuevas capacidades de Defender para reparar Log4j

Microsoft anunció que ha implementado nuevas capacidades en sus ofertas Defender for Containers y Microsoft 365 Defender para identificar y remediar las vulnerabilidades generalizadas en Apache Log4j.

Defensor de contenedores debutó 9 de diciembre, fusionando las capacidades de Microsoft Defender para Kubernetes y Microsoft Defender para registros de contenedores y agregando nuevas características como implementación nativa de Kubernetes, detección avanzada de amenazas y evaluación de vulnerabilidades.

El lunes por la noche, Microsoft reveló que actualizó la solución Defender for Containers para permitir el descubrimiento de imágenes de contenedores que son vulnerables a las fallas en Log4j, un componente de software de registro ampliamente utilizado.

Defender for Containers ahora puede descubrir imágenes afectadas por las tres vulnerabilidades en Log4j que se han revelado y ahora parcheado, comenzando con el informe inicial de una falla de ejecución remota de código en Log4j el 9 de diciembre.

Escaneo de vulnerabilidades

Las imágenes de contenedores se escanean automáticamente en busca de vulnerabilidades cuando se envían a un registro de contenedores de Azure, cuando se extraen de un registro de contenedores de Azure y cuando se ejecutan en un clúster de Kubernetes, escribió el equipo de inteligencia de amenazas de Microsoft en una actualización de su entrada en el blog sobre la vulnerabilidad Log4j.

La capacidad que permite escanear en busca de vulnerabilidades en imágenes de contenedores que se ejecutan en un clúster de Kubernetes está impulsada por tecnología de la empresa cibernética Qualys, señaló Microsoft.

«Continuaremos haciendo un seguimiento de cualquier desarrollo adicional y actualizaremos nuestras capacidades de detección si se informa de alguna vulnerabilidad adicional», dijo el equipo en la publicación.

Microsoft Defender para contenedores apoyos cualquier clúster de Kubernetes certificado por Cloud Native Computing Foundation. Junto con Kubernetes, se ha probado con Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS), Azure Kubernetes Service en Azure Stack HCI, AKS Engine, Azure Red Hat OpenShift, Red Hat OpenShift (versión 4.6 o superior). , VMware Tanzu Kubernetes Grid y Rancher Kubernetes Engine.

Actualizaciones de Microsoft 365 Defender

Mientras tanto, para Microsoft 365 Defender, la compañía dijo que ha introducido un panel de control consolidado para administrar amenazas y vulnerabilidades relacionadas con las fallas de Log4j. El panel «ayudará a los clientes a identificar y corregir archivos, software y dispositivos expuestos a las vulnerabilidades de Log4j», el equipo de inteligencia de amenazas de Microsoft. tuiteó.

Estas capacidades son compatibles con Windows y Windows Server, así como con Linux, dijo Microsoft. Sin embargo, para Linux, las capacidades requieren una actualización a la versión 101.52.57 o posterior del cliente Microsoft Defender para Endpoint Linux.

Este «panel de Log4j dedicado» proporciona una «vista consolidada de varios hallazgos en dispositivos vulnerables, software vulnerable y archivos vulnerables», dijeron los equipos de inteligencia de amenazas en la publicación del blog.

Además, Microsoft dijo que ha lanzado un nuevo esquema de búsqueda avanzada para Microsoft 365 Defender, «que muestra los hallazgos a nivel de archivo del disco y brinda la capacidad de correlacionarlos con un contexto adicional en la búsqueda avanzada».

“Estas nuevas capacidades se integran con la experiencia existente de administración de amenazas y vulnerabilidades y se están implementando gradualmente”, dijeron los equipos de inteligencia de amenazas de Microsoft en la publicación.

Las capacidades de descubrimiento cubren los CPE de aplicaciones instaladas (Common Platform Enumerations) que se sabe que tienen vulnerabilidades en Log4j RCE, junto con archivos vulnerables de Log4j Java Archive (JAR), dice la publicación.

Próximamente soporte para macOS

Microsoft dijo que está trabajando para agregar soporte para las capacidades en Microsoft 365 Defender para macOS de Apple, y dijo que las capacidades para dispositivos macOS «se implementarán pronto».

Las nuevas capacidades para protegerse contra la vulnerabilidad Log4j se unen a otras capacidades disponibles en las ofertas de Microsoft para abordar la vulnerabilidad, conocidas como Log4Shell. Esas otras ofertas incluyen Microsoft Sentinel, Azure Firewall Premium, Azure Web Application Firewall, RiskIQ EASM y Threat Intelligence, Microsoft Defender Antivirus, Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Microsoft Defender para Cloud y Microsoft Defender para IoT.

Además de proporcionar algunas de las plataformas y servicios en la nube más grandes utilizados por las empresas, Microsoft es un importante proveedor de ciberseguridad por derecho propio con 650.000 clientes de seguridad.

Microsoft ha informado de actividades de observación que explotan Log4Shell, como intentos de implementación de ransomware, minería de criptomonedas, robo de credenciales, movimiento lateral y exfiltración de datos.

La compañía dijo anteriormente que ha observado actividades de múltiples grupos de ciberdelincuentes que buscan establecer acceso a la red explotando la vulnerabilidad en Log4j. Se espera que estos presuntos «corredores de acceso» vendan posteriormente ese acceso a los operadores de ransomware.

Su llegada sugiere que podría producirse un «aumento en el ransomware operado por humanos» contra los sistemas Windows y Linux, dijo la compañía.

Vulnerabilidad generalizada

Microsoft y la empresa cibernética Mandiant también han dicho que han observado actividad de grupos de estados nacionales, vinculados a países como China e Irán, que buscan explotar la vulnerabilidad Log4j. Se ha visto a un grupo iraní conocido como Phosphorus, que anteriormente había implementado ransomware, «adquiriendo y haciendo modificaciones del exploit Log4j», dijo Microsoft.

Además, la compañía dijo anteriormente que había observado una nueva familia de ransomware, conocida como Khonsari, utilizada en ataques a servidores Minecraft no alojados en Microsoft al explotar la vulnerabilidad en Apache Log4j.

Muchas aplicaciones empresariales y servicios en la nube escritos en Java son potencialmente vulnerables debido a las fallas en Log4j antes de la versión 2.17.1, que se lanzó hoy. Se cree que la biblioteca de registro de código abierto se usa de alguna forma, ya sea directa o indirectamente, aprovechando un marco de Java, por la mayoría de las grandes organizaciones.

La versión 2.17.1 de Log4j aborda una vulnerabilidad recién descubierta (CVE-2021-44832), y es el cuarto parche para vulnerabilidades en el software Log4j desde el descubrimiento inicial de la vulnerabilidad RCE.

La vulnerabilidad recién descubierta en Log4j «requiere un conjunto de condiciones bastante oscuro para activarse», dijo Casey Ellis, fundador y director de tecnología de Bugcrowd, en un comunicado compartido con VentureBeat. «Entonces, si bien es importante que las personas estén atentas a los CVE recién lanzados para el conocimiento de la situación, este CVE no parece aumentar el riesgo ya elevado de compromiso a través de Log4j».

Actualizado para hacer referencia al lanzamiento de la versión 2.17.1 de Log4j y agregar comentarios de Casey Ellis de Bugcrowd.