Internacional. El protocolo ISATAP está diseñado originalmente para la comunicación dentro de la red. El equipo de Respuesta a Incidentes y Forense Digital (DFIR) de SecurityHQ evidenció que el mismo está siendo explotado por actores cibernéticos para vulnerar la seguridad de Windows Server.
Los investigadores descubrieron que un actor externo había realizado una configuración maliciosa desde una red IPv6 interna, directamente hacia una IP de "comando y control", estableciendo un puente de red entre la red interna y la red del atacante.
Esta conexión no autorizada evitó las medidas de seguridad de red existentes, lo que permitió al atacante obtener control de la red sin activar la detección por parte de ningún control de seguridad.
Si bien esta táctica no está asociada actualmente con ningún ciberataque o grupo APT específico, plantea una amenaza potencial que puede aprovecharse en el futuro.
Detección de túneles maliciosos
- Supervise la comunicación hacia IP y puertos sospechosos dentro de su red.
- Verifique los ID de eventos del sistema Windows 4100 (configuración de dirección ISATAP) y 4200 (túnel ISATAP activado) en los registros del visor de eventos.
- Revise los cambios realizados en la configuración del registro 'IPEnableRouter' en los servidores Windows, ya que las modificaciones inesperadas pueden indicar actividad maliciosa.
- Examine los registros del servidor DNS de la red en busca de eventos relacionados con la activación o configuración del protocolo 'ISATAP'.
Pasos de mitigación
- Verifique si hay algún túnel ISATAP activo, use el comando o PowerShell: netsh interface ipv6 isatap show state
- Para desactivar el túnel, utilice el siguiente comando: netsh interface ipv6 isatap set state disabled
Si no se está utilizando activamente el protocolo ISATAP, es pertinente considerar deshabilitarlo en todos los servidores de Windows, aplicando un objeto de política de grupo (GPO).
En caso de detectar un túnel ISATAP activo o cualquier actividad sospechosa, es necesario comunicarse inmediatamente con su equipo de respuesta a incidentes para investigar el vector inicial y tomar las acciones necesarias para contener el potencial ataque en curso.
Deje su comentario