La primera semana de agosto puede ser un perÃodo lento para gran parte del mundo, pero para los investigadores en ciberseguridad, significa que las noticias sobre vulnerabilidades están a punto de aumentar gracias a la conferencia anual de seguridad Black Hat USA.
Este año no será la excepción. Las charlas y conferencias magistrales de Black Hat USA 2024, que comienzan el miércoles, discutirán (y en muchos casos revelarán) vulnerabilidades en todo el espectro de TI y tecnologÃa, con sesiones centradas en errores y exploits en servicios en la nube, hardware, herramientas de seguridad, computación cuántica, IA y LLMs, software, firmware, virtualización, lenguajes de programación, herramientas para desarrolladores, cargadores de vehÃculos eléctricos, 5G, navegadores, dispositivos móviles de Apple y Android, y, por supuesto, mucha investigación sobre vulnerabilidades de Microsoft Windows.
La buena noticia es que también hay algunas sesiones sobre defensas cibernéticas prometedoras, por lo que no todo es pesimismo. Aquà hay 15 sesiones de Black Hat que los profesionales de la seguridad de TI querrán seguir.
Proveedores de Servicios en la Nube Bajo Scrutinio en Black Hat
Los proveedores de servicios en la nube tienen la reputación de tener algunas de las mejores medidas de seguridad disponibles (siempre que los usuarios sigan los procedimientos de configuración adecuados al conectarse a los servicios). Una buena reputación de seguridad en la nube es importante para atraer negocios, y los proveedores más grandes suelen tener controles de seguridad que una organización más pequeña podrÃa no poder igualar. Por ejemplo, Google ha afirmado que realiza parches hasta 10 veces al dÃa en un proceso casi continuo de cierre de brechas de seguridad.
Sin embargo, parte de esa reputación de buena seguridad también puede venir de la disposición de los servicios para trabajar con investigadores de seguridad en programas de recompensas por errores.
AWS, Google Cloud Platform (GCP) y Azure recibirán atención en la conferencia Black Hat de este año, y un tema común es que las vulnerabilidades han sido en gran medida solucionadas. Los investigadores de Aqua Security detallarán seis vulnerabilidades crÃticas en AWS —“todas reconocidas y solucionadas rápidamente por AWS”— que podrÃan haber llevado a la toma de control total de cuentas, exposición de datos sensibles, denegación de servicio y escalada de privilegios.
Los investigadores describirán cómo descubrieron las vulnerabilidades, identificaron similitudes entre ellas y “cómo desarrollamos un método para descubrir más vulnerabilidades y aumentar el impacto utilizando técnicas comunes que conducen a la escalada de privilegios.” También planean lanzar una herramienta de código abierto para investigar las llamadas a la API interna del servicio.
Nick Frechette de Datadog también detallará las vulnerabilidades de AWS que han sido solucionadas en el control de acceso y la autenticación, una fuente común de brechas en la nube.
Liv Matan de Tenable discutirá las vulnerabilidades de GCP —y cómo “la seguridad en la nube es tan compleja que incluso los proveedores de nube a veces se equivocan.”
El resumen de Matan señala que “un simple argumento de comando erróneo por parte de Google Cloud Platform (GCP) fue suficiente para permitirnos encontrar una vulnerabilidad crÃtica de RCE (denominada ‘CloudImposer’) en las cargas de trabajo de los clientes de GCP y en los servidores de producción internos de Google, afectando a millones de servidores en la nube.”
También revelará una vulnerabilidad de escalada de privilegios en GCP, discutirá vulnerabilidades en la cadena de suministro de la nube y presentará una herramienta “para encontrar las APIs ocultas que son llamadas por el proveedor de la nube al realizar una acción.”
Azure y Microsoft 365 también recibirán atención de los investigadores de seguridad. Eric Woodruff de SEMPERIS discutirá “un descubrimiento novedoso que resultó en una escalada de privilegios a Administrador Global en Entra ID (Azure AD).”
Otras sesiones intrigantes examinarán debilidades de seguridad en agentes de aprendizaje por refuerzo profundo y computadoras cuánticas, vulnerabilidades de OpenVPN, exploits de Microsoft Copilot, una técnica de escape de Sandbox de Chrome V8, una técnica de evasión de firewall de aplicaciones web, ataques de copias de seguridad inmutables y un ataque de degradación de Windows utilizando la actualización de Windows.
Las Defensas de Seguridad También Reciben Atención en Black Hat
Afortunadamente, Black Hat no será solo malas noticias; las defensas cibernéticas también recibirán atención. En la sesión de seguridad defensiva más intrigante, 29 investigadores discutirán sus éxitos al aplicar el aprendizaje por refuerzo para automatizar las defensas cibernéticas.
Otras sesiones defensivas prometedoras incluyen una técnica para detectar y detener exploits de dÃa cero en el núcleo de Linux, investigadores de Microsoft discutiendo formas en que los equipos de seguridad pueden usar LLMs, y Richard Harang, arquitecto principal de seguridad de NVIDIA para IA y ML, presentando lecciones de seguridad de IA aprendidas del equipo rojo de IA de NVIDIA.
Hemos presentado 15 sesiones intrigantes de Black Hat aquÃ, pero hay muchas más, y es posible que encuentres otras que se adapten mejor a tus propias necesidades e intereses.
Fuente: The Cyber Express