Microsoft ha anunciado una nueva función de Microsoft Defender para Endpoint* (MDE) para ayudar a las organizaciones a evitar que los atacantes y el malware utilicen dispositivos no gestionados comprometidos para moverse lateralmente por la red.

Esta nueva función permite a los administradores «contener» los dispositivos Windows no gestionados en su red si están comprometidos o se sospecha que lo están.

Una vez etiquetada como contenida, la plataforma de seguridad de puntos finales de la empresa ordenará a los sistemas Windows de la red que bloqueen toda la comunicación hacia y desde el dispositivo.

Esto puede ayudar a impedir que los actores maliciosos se desplacen lateralmente dentro de la organización utilizando dispositivos no gestionados y evitar la propagación de una infección que, de otro modo, causaría más daños.

«Esta acción puede ayudar a evitar que los dispositivos vecinos se vean comprometidos mientras el analista de operaciones de seguridad localiza, identifica y remedia la amenaza en el dispositivo comprometido», explica (en inglés), Microsoft. Para la traducción al español vea este enlace.

Sin embargo, hay un inconveniente: la nueva capacidad de MDE solo funciona con dispositivos incorporados que ejecutan Windows 10 y posterior o Windows Server 2019 y posterior.

«Sólo los dispositivos que se ejecutan en Windows 10 y superior realizarán la acción ‘Contener’, lo que significa que sólo los dispositivos que ejecutan Windows 10 y superior que están inscritos en Microsoft Defender para Endpoint bloquearán los dispositivos ‘contenidos’ en este momento», agregó (en inglés), Microsoft.

Esto significa que, aunque se contenga en todos los dispositivos Windows administrados en la red, el sistema contenido seguirá siendo capaz de acceder a otros dispositivos que no han sido incorporados.

Imagen: Microsoft

Cómo contener los dispositivos Windows comprometidos

Para contener un dispositivo potencialmente comprometido, los administradores deben seguir los siguientes pasos:

  • Vaya a la página «Inventario de dispositivos» (Device inventory, en el portal de Microsoft 365 Defender y seleccione el dispositivo que desea contener.
  • Seleccione «Contener dispositivo» (Contain device), en el menú de acciones de la ventana emergente del dispositivo.
  • En la ventana emergente de contener el dispositivo, escriba un comentario y seleccione «Confirmar» (Confirm).

Después de contener un dispositivo no administrado, puede tomar hasta 5 minutos para que los dispositivos incorporados de Microsoft Defender para Endpoint comiencen a bloquear las comunicaciones.

Si alguno de los dispositivos contenidos en la red cambia su dirección IP, todos los dispositivos incluidos lo reconocerán y comenzarán a bloquear las comunicaciones con la nueva dirección IP.

Para dejar de contener un dispositivo específico, selecciónelo en el «Inventario de dispositivos» (Device inventory), o abra la página del dispositivo. A continuación, deberá seleccionar «Liberar de la contención« (Release from containment), en el menú de acciones para restablecer la conexión del dispositivo a la red.

*= Punto Final

Fuente: BC