SEGURILATAM 007

68 Primer cuatrimestre 2018 artículo técnico Ciberseguridad L os servicios de Gestión de Re- laciones con los Clientes (CRM, por sus siglas en inglés) en la nube ofrecen un rico entorno de cola- boración para que los equipos distri- buidos compartan archivos procesados con usuarios internos y socios externos. Por ello, este tipo de servicios son co- múnmente utilizados para almacenar la información más crítica de los clientes y compartir datos con los usuarios corpo- rativos a través de la web y aplicaciones de ecosistemas nativos. Ahora bien, aunque es cierto que este valioso medio colaborativo pro- porciona una eficiente plataforma para el desarrollo de CRM, también lo es su ascenso como hábitat propicio para la propagación de ataques. Netskope Threat Research Labs ha comprobado cómo el vector CRM Cloud está siendo utilizado para difundir el ransomware Locky a través de la función DDE de Mi- crosoft Office. Ciertamente, el desarrollo de los servi- cios cloud interconectados está abriendo nuevas rutas para que los archivos mali- ciosos alcancen los servicios CRM Cloud. Lo peor es que, una vez dentro, el mal- ware puede llegar a los desprevenidos usuarios a través de flujos de trabajo CRM implícitos y/o por medio de funcio- nes de colaboración. Archivos maliciosos La entrega de malware desde los servi- cios de CRM en la nube comienza ge- neralmente con la carga de archivos maliciosos en el servicio CRM Cloud. Así, por ejemplo, un usuario que utilice un dispositivo no administrado e inse- guro podría subir archivos al CRM cor- porativo. Dado que muchas empresas brindan a sus proveedores y socios ac- ceso a sus servicios CRM para incorpo- rar documentos como facturas u órde- nes de compra, este paso sería sencillo. Además, los archivos insertados llevan implícito un alto nivel de confianza y suelen ser de carácter urgente. Por lo tanto, la empresa no tiene control al- guno sobre el dispositivo asociado y, lo más importante y peligroso, tampoco sobre los archivos que se cargan desde ellos y que, a menudo, pasan como flu- jos de trabajo automatizados. Una vez que los archivos ingresan en la secuencia de colaboración y son com- partidos en los servicios de CRM en la nube, ya se consideran documentos re- visados. Tras ello, cualquier miembro del departamento de ventas u otro usua- rio involucrado en el proceso de relación con el cliente podría abrir los archivos considerando que son seguros. Si a esta puesta en escena se le acompaña de nombres de archivos recurrentes como Factura*.doc o Pedido*.doc, el escenario está preparado para una infección. Ataques DDE El protocolo de Intercambio Dinámico de Datos (DDE, por sus siglas en inglés) es uno de los métodos proporciona- dos por Microsoft para permitir que dos aplicaciones en ejecución compartan los mismos datos. Los atacantes recu- rren al DDE para lanzar scripts maliciosos como PowerShell desde la línea de co- mandos. Esto se logra insertando un en- lace en el campo del DDE para descar- gar y ejecutar la carga maliciosa. Aunque esta técnica de explotación no necesita macros para habilitar la ejecución de có- digo malicioso, sí requiere la participa- ción del usuario. Para engañarle, los pi- ratas utilizan ingeniosos trucos de inge- niería social. Nuevo desafío El ransomware Locky, que se sirve de diferentes técnicas de ataque para eva- dir las soluciones de seguridad tradi- cionales, continúa de actualidad. El uso de la metodología de ataque DDE que no requiere macros es una técnica re- cientemente utilizada para permane- cer indetectable. La popularidad y el rápido crecimiento del uso de servi- cios de CRM en la nube, junto a la con- fianza implícita de los usuarios sobre los archivos que se incluyen en dichos servicios, están propiciando un au- mento de la superficie de ataque del malware . Esto plantea un nuevo desa- fío para las TI empresariales y las orga- nizaciones de seguridad. Implementando una solución de se- guridad diseñada para el cloud y de múl- tiples capas de protección como Net- skope Threat Protection, las empresas pueden identificar estas amenazas en cualquier servicio y remediar antes de que sea demasiado tarde. Daniel Junqueira Ingeniero de Ventas de Netskope para Latinoamérica El ‘ransomware’ Locky impacta de lleno en los servicios CRM Cloud Con soluciones como Netskope Threat Protection se pueden identificar las amenazas en cualquier servicio y remediar antes de que sea demasiado tarde