Noticias
Microsoft Sentinel obtiene la vista previa del detector de exploits Log4j
Microsoft agregó una solución de vista previa en Microsoft Sentinel que ayuda a los profesionales de TI a encontrar signos de vulnerabilidades de Log4j, según un anuncio del jueves y Publicación de Twitter.
La solución de vista previa de detección de exploits Log4j está disponible a través de Content Hub de Microsoft Sentinel. Curiosamente, las organizaciones con suscripciones a Microsoft Sentinel de los socios proveedores de soluciones en la nube de Microsoft Azure tienen que instalar manualmente esta vista previa, si así lo desean, según los comentarios del anuncio.
«Las soluciones no se pueden implementar en suscripciones de proveedores de soluciones en la nube de Microsoft Azure», comentó Sarah Young de Microsoft. «Sin embargo, puede agregar manualmente estas detecciones en su espacio de trabajo desde nuestro repositorio de GitHub».
Microsoft ha mantenido informados a los usuarios de sus soluciones de seguridad sobre las herramientas actualizadas para hacer frente a posibles vulnerabilidades de Log4j en este anuncio del 11 de diciembre, que ha sido objeto de algunas revisiones. Se actualizó recientemente para incluir los nuevos detalles sobre la solución de vista previa de Microsoft Sentinel, por ejemplo.
Log4j es una biblioteca de registro de Java de código abierto que se usa ampliamente en múltiples aplicaciones (ver Lista de CISA). Actualmente se encuentra bajo un ataque generalizado debido a un agujero de seguridad denominado «Log4Shell» (CVE-2021-44228) que puede permitir la ejecución remota de código.
Uno de los primeros lugares de ataque descubiertos para la vulnerabilidad Log4j fue el juego Minecraft de Microsoft, alojado en servidores mantenidos por usuarios que no son de Microsoft. Microsoft anima a los mantenedores a instalar la última actualización del juego.
Microsoft Defender for Endpoint para la detección de ataques
Los usuarios de Microsoft Defender for Endpoint deben buscar «signos de posexplotación, en lugar de depender completamente de las medidas de prevención», según el anuncio del 11 de diciembre:
Debido a la amplia naturaleza de explotación de la red de los vectores a través de los cuales se puede explotar esta vulnerabilidad y al hecho de que la aplicación de mitigaciones de manera integral en entornos grandes llevará tiempo, alentamos a los defensores a buscar señales de posexplotación en lugar de confiar plenamente en la prevención. La actividad posterior a la explotación observada, como la extracción de monedas, el movimiento lateral y el Cobalt Strike, se detectan con detecciones basadas en el comportamiento.
Protecciones en la nube con Microsoft Defender Antivirus
Microsoft recomendó a los usuarios de Microsoft Defender Antivirus que «activen la protección proporcionada en la nube», que «cubrirá las herramientas y técnicas de los atacantes en rápida evolución».
Puntos ciegos de Microsoft 365 Defender
Es posible que Microsoft 365 Defender no encuentre todos los archivos Log4j Java ARchive (JAR) vulnerables, además de que la compatibilidad con Linux y macOS aún está por llegar, admitía el anuncio del 11 de diciembre:
En el momento de escribir este artículo (16/12/2021), la capacidad de descubrimiento [in Microsoft 365 Defender] se basa en la presencia de archivos Java ARchive (JAR) de Log4j vulnerables en Windows 10, Windows 11 y Windows Server 2008, 2012 y 2016. Casos en los que Log4j está empaquetado en un
Uber-JAR = «en blanco»> osombreado = «en blanco»> actualmente no se pueden descubrir, pero la cobertura para estas instancias y otros métodos de empaquetado está en progreso. El soporte para Linux y macOS también está en progreso y se implementará pronto.
Microsoft está implementando actualizaciones de Microsoft Defender para Endpoint para «mostrar componentes vulnerables de la biblioteca Log4j», lo que le permitirá «descubrir automáticamente» las vulnerabilidades.
Alertas del centro de seguridad
El portal del Centro de seguridad de Microsoft mostrará alertas sobre la actividad de amenazas asociadas con las vulnerabilidades de Log4j para sistemas Linux y Windows.
Security Center mostrará alertas cuando se utilice el tráfico asociado con la vulnerabilidad CVE-2021-44228. Detectará las instalaciones de comando y control de Cobalt Strike, además de otros proyectiles, puertas traseras y mineros de monedas. El portal del Centro de seguridad también mostrará activaciones de comandos y scripts sospechosos.
Usuarios de Azure Firewall Premium protegidos
Los suscriptores de Azure Firewall Premium «han mejorado la protección contra la vulnerabilidad y el exploit Log4j RCE CVE-2021-44228», indicó el anuncio de Microsoft del 11 de diciembre.
Esta protección no parece estar disponible para los usuarios de Azure Firewall Standard. El anuncio aconsejaba a los usuarios de Standard que se actualizaran al producto Premium.
Actividades de escaneo masivo
Microsoft ha estado detectando un escaneo masivo en busca de la vulnerabilidad Log4j. La botnet Mirai tiene como objetivo los sistemas Elasticsearch para implementar mineros de criptomonedas. La vulnerabilidad también se está utilizando para instalar puertas traseras Tsunami en sistemas Linux, indicó Microsoft.
«Muchas de estas campañas ejecutan actividades de exploración y explotación simultáneas para sistemas Windows y Linux, utilizando comandos Base64 incluidos en la solicitud JDNI: ldap: // para iniciar comandos bash en Linux y PowerShell en Windows», indicó el anuncio del 11 de diciembre. .
Microsoft también está observando la actividad del estado-nación de «grupos originarios de China, Irán, Corea del Norte y Turquía» utilizando la vulnerabilidad.
El Centro de inteligencia de amenazas de Microsoft (MSTIC) mantiene una lista de indicadores de compromiso asociados con la vulnerabilidad Log4j. La lista sin procesar se encuentra en esta página de GitHub.