Han pasado ya cuatro años y muchos sistemas aún necesitan parches. Más de dos tercios de las empresas siguen utilizando software con el fallo de WannaCry.
Cuatro años después de los ataques globales de ransomware WannaCry y NotPetya, dos tercios de las empresas aún no han reparado las vulnerabilidades que los causaron. Esto es lo que muestra la empresa de detección y respuesta e redes en la nube ExtraHop.
La compañía investigó los datos de su plataforma de seguridad Reveal en el primer trimestre de 2021 para determinar qué protocolos estaban ejecutando sus clientes. Se descubrió que el 88% de ellos seguían ejecutando al menos un dispositivo con SMBv1. Este era un vector de ataque fundamental para el exploit EternalBlue utilizado en los dos ataques de ransomware.
Aunque un solo dispositivo pueda no parecer demasiado alarmante, hay otra estadística más preocupante. El 67% de las empresas están ejecutado más de 10 dispositivos habilitados para SMBv1. Más de dos tercios de ellas (37%) de ellas, ejecutaban más de 50 dispositivos. El 31% de las empresas tenían más de 100 dispositivos SMBv1 en sus redes.
Más de dos tercios de las empresas siguen utilizando software con el fallo de WannaCry
El informe también destacó el uso intensivo de otros dos protocolos en los servidores de Windows. El primero, llamado Local Loop Multicast Name Resolution (LLMNR), es una alternativa al DNS para resolver nombres básicos dentro de una red privada. Tiene un problema similar al antiguo servicio de nombres NetBIOS de Windows. Se comunica con todos los clientes de la red en lugar de con un servidor específico.
Esto permite a un atacante escuchar y responder a las solicitudes de acceso, creando una race condition para recolectar las credenciales hash del cliente si establece una conversación con la suficiente rapidez. Después, puede descifrar estas credenciales. Con esto se otorga al atacante acceso a la cuenta de red de un cliente, o usarlas en un ataque posterior.
El otro protocolo, New Technology LAN Manager (NTLM) v1, es un mecanismo de autenticación de red de décadas de antigüedad que ha quedado obsoleto. Sin embargo, más de un tercio (34%) de las empresas tienen más de 10 dispositivos usándolo. Casi uno de cada cinco (19%) tenía más de 100 dispositivos usando este protocolo. Microsoft hace ya tiempo que aconsejó a los clientes que dejasen de usarlo por completo en favor del sistema Kerberos más seguro.
El informe también encontró que pocas empresas habían adoptado el uso de cifrado TLS sobre HTTP (HTTPS), que los proveedores de navegadores han aplicado de manera agresiva. Descubrió también la encuesta que el 81% de los entornos empresariales todavía usan HTTP para enviar credenciales de acceso en texto sin formato.
ExtraHop dijo que analizó más de cuatro petabytes de tráfico cada día en su investigación del uso del protocolo en línea.