El protocolo que fue explorado por Ransomware WannaCry El cifrado de casi un cuarto de millón de sistemas en todo el mundo durante cuatro años todavía se utiliza en entornos de TI corporativos, según una nueva investigación de ExtraHop.
El equipo de detección de amenazas de la empresa de detección y respuesta de redes comenzó a examinar la prevalencia de protocolos inseguros, como Server Message Block versión uno (SMBv1), Resoluciones de nombres de multidifusión de enlace local (LLMNR), NT Lan Manager (NTLMv1) y Protocolo de transferencia de hipertexto (HTTP) en entornos de TI corporativos a principios de este año.
ExtraHop ha lanzado ahora una nueva versión de seguridad basada en los resultados de su investigación, que revela que estos protocolos que exponen a las organizaciones y sus clientes a riesgos considerables todavía están en uso en la actualidad.
Protocolos inseguros
Según la investigación de ExtraHop, SMBv1, que ha sido explotado para ataques como Quiero llorar y NotPetya y esparcir rápidamente malware para otros servidores sin parchear en una red, todavía se encontraba en el 67 por ciento de los entornos de TI en 2021.
La encuesta también encontró que el 70 por ciento de los entornos todavía ejecutan LLMNR, a pesar de que este protocolo se puede explotar para obtener acceso a los hashes de credenciales de usuario. Estos hash de credenciales se pueden romper para exponer la información de inicio de sesión real que los agentes malintencionados pueden usar para obtener acceso a datos personales y comerciales confidenciales.
Aunque Microsoft ha recomendado que las organizaciones dejen de usar NTLM y adopten el método más seguro Kerberos En cambio, el protocolo de autenticación NTLM sigue siendo bastante común y el 34 por ciento de los entornos corporativos tienen al menos 10 clientes que ejecutan NTLMv1.
Finalmente, ExtraHop descubrió que el 81 por ciento de los entornos corporativos todavía usan credenciales de texto sin formato HTTP inseguras.
El jefe de producto de ExtraHop, Ted Driggs, proporcionó más información sobre los resultados de la investigación de la empresa en un presione soltar, diciendo:
«Es fácil decir que las organizaciones deberían deshacerse de estos protocolos en sus entornos, pero a menudo no es tan simple. La migración de SMBv1 y otros protocolos obsoletos puede no ser una opción para los sistemas heredados, e incluso cuando es una opción, la migración puede causar interrupciones disruptivas Muchas organizaciones de seguridad y TI optarán por tratar de contener el protocolo obsoleto en lugar de arriesgarse a una interrupción. Protocolos. Sólo entonces pueden decidir cómo solucionar el problema o limitar la gama de sistemas vulnerables en la red «.
