PRÁCTICA 8

 Prácticas sobre amenazas y vulnerabilidades

Actividad 1:

A continuación, se muestra una tabla de Excel la cual enumera los riesgos que nos presenta INCIBE y su impacto en varios aspectos de la seguridad de la información, concretamente, en la disponibilidad, integridad y la confidencialidad.

Actividad 2:

Si miramos la tabla Cruces Amenaza-Activo roporcionada por INCIBE, vemos una lista de 31 riesgos asociados a un determinado activo. Si tardamos 5 minutos en evaluar cada amenaza, el total de amenazas (31) nos daría un total de 155 minutos. Dado que podemos revisar las amenazas o valoración general tras el cruce, podemos dedicar unas 2/3 horas al trabajo.

Actividad 3 y 4:

Una vez investigado el el Boletín de seguridad de Microsoft podemos observar una vulnerabilidad detectada en 25 de febrero de 2020. Esta consistía en una vulnerabilidad en la interfaz web de administración de Cisco Unified Contact Center Express (CCX unificado) la cual podría permitir que un atacante remoto pudiese cargar archivos arbitrarios y ejecutar comandos en el sistema operativo subyacente. Para explotar esta vulnerabilidad, un el atacante necesita credenciales de administrador válidas.

La vulnerabilidad se debe a restricciones insuficientes para el contenido subido a un sistema afectado. Un atacante podría explotar esto vulnerabilidad cargando archivos arbitrarios que contengan el sistema operativo comandos que serán ejecutados por un sistema afectado

El CVE es el Código de Verificación Electrónica y nos permite identificar las diversas publicaciones que se hacen en el Boletín de Seguridad de Microsoft. El CVE de esta vulnerabilidad fue CVE-2019-1888.

Actividad 5:

Las vulnerabilidades son un defecto que tienen los sistemas de información. Estas, permiten a los atacantes comprometer la seguridad de la información.

Una vez que los sistema de TI están en desarrollo, las vulnerabilidades pueden encontrarse descubiertas, difundidas o reveladas y explotadas por terceros.Tras su aprovechamiento, la vulnerabilidad ha sido explotada. Antes de que se descubra una vulnerabilidad, un investigador de seguridad o un pirata informático debe realizar algún trabajo. Hay un período de tiempo desde el descubrimiento de la vulnerabilidad hasta el lanzamiento cuando los analistas de seguridad conocen una vulnerabilidad pero no la divulgan (pre-zero-day). Una vez publicado, no se hace de forma general, sino con un objeto concreto. Después de un tiempo, los investigadores lo difunden de forma pública.

Tras conocer uno de los portales españoles que informan de las ciberamenazas: "https://www.ccn-cert.cni.es/" y particularmente su apartado sobre vulnerabilidades, creo que las que podrían afectar al aula de informática de la Universidad son:

• CVE-2022-24491 y CVE-2022-24497: en estas un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de estas vulnerabilidades puede resultar en un compromiso completo del sistema vulnerable.
• CVE-2022-22008, CVE-2022-24537 y CVE-2022-23257: esta existe debido a una validación de entrada incorrecta en Windows Hyper-V. Un usuario remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de estas vulnerabilidades puede resultar en un compromiso completo del sistema vulnerable.