Boletín semanal de ciberseguridad, 13 — 17 de junio

Telefónica Tech    17 junio, 2022

Hertzbleed. Nuevo ataque de canal lateral contra procesadores AMD e Intel

Investigadores de seguridad de varias universidades de Estados Unidos han descubierto un nuevo ataque de canal lateral que afecta a los procesadores de Intel y AMD, denominado Hertzbleed.

Lo destacable de este ataque es que podría permitir a un atacante extraer claves criptográficas de servidores remotos. Esto se debe a que, en determinadas circunstancias, el sistema de escalado dinámico de frecuencia y voltaje (DVFS) de los procesadores modernos con arquitectura x86 depende de los datos que se procesan, permitiendo, en procesadores modernos, que el mismo programa pueda ejecutarse a una frecuencia de CPU diferente.

Tanto Intel (CVE-2022-24436), como AMD (CVE-2022-23823), ya cuentan con sus correspondientes identificadores para esta vulnerabilidad y han publicado los correspondientes avisos de seguridad.

Según los investigadores que han descubierto Hertzbleed, ninguna de las firmas planea publicar parches para estos fallos. Sin embargo, Intel y AMD han publicado medidas de mitigación.​​​

​​PACMAN. Nuevo ataque contra dispositivos Mac

​Investigadores de seguridad de MIT CSAIL han descubierto un nuevo ataque que permitiría evadir Pointer Authentication (PAC) en procesadores M1 de Apple.

PAC es un mecanismo de seguridad por el cual se firman criptográficamente determinados punteros y que permite al sistema operativo detectar y bloquear cambios inesperados qué, de no ser localizados, podrían dar lugar a fugas de información o al compromiso del sistema.

En concreto, este ataque permitiría a actores amenaza acceder al sistema de archivos y ejecutar código arbitrario en los equipos Mac vulnerables. Para ello, los atacantes primero deben localizar un fallo existente de escritura/lectura en memoria que afecte al software del dispositivo Mac de la víctima, el cual sería bloqueado por PAC y que podría aumentar la gravedad del fallo al lograr la evasión de autenticación de punteros.

Además, sería necesario conocer el valor PAC de un puntero concreto del objetivo. Esta nueva técnica de ataque fue reportada a Apple en 2021, junto con una prueba de concepto, si bien desde la compañía indican que no supone un riesgo inmediato para los usuarios de Mac, ya que se necesita la explotación de otro fallo, no siendo posible eludir los sistemas de seguridad por sí mismo.

Más info: https://pacmanattack.com/

Citrix corrige dos vulnerabilidades en ADM

Citrix ha publicado un boletín de seguridad crítico donde corrige dos vulnerabilidades en Citrix Application Delivery Management (ADM).

El primer fallo, catalogado como CVE-2022-27511, se debe a un control de acceso inadecuado, podría permitir a un atacante resetear la contraseña de administrador tras el reinicio del dispositivo, permitiendo el acceso mediante SSH con las credenciales de administrador por defecto.

Además, Citrix ha corregido otro fallo de seguridad (CVE-2022-27512) que, si es explotado con éxito, podría dar lugar a una interrupción temporal del servidor de licencias de ADM, provocando que Citrix ADM no pueda emitir nuevas licencias o renovarlas.

Ambos fallos afectan a las versiones Citrix ADM 13.1 antes de la 13.1-21.53 y Citrix ADM 13.0 antes de la 13.0-85.19. Desde la firma instan a los usuarios a actualizar Citrix ADM server y Citrix ADM agent lo antes posible.

Servidores de Microsoft Exchange vulnerados para desplegar el ransomware BlackCat

El equipo de inteligencia de amenazas de Microsoft 365 Defender ha informado acerca de dos incidentes de seguridad donde se habría desplegado el ransomware BlackCat.

Por un lado, se detectó la explotación de un servidor Exchange sin parchear como vector de entrada. Tras este acceso inicial, los atacantes se desplazaron por la red afectada, robando credenciales y exfiltrando grandes cantidades de información para ser utilizada dentro de la doble extorsión. Tras dos semanas después del acceso inicial, se implementó el ransomware. Cabe mencionar que desde Microsoft no han informado acerca de qué vulnerabilidad habría sido explotada.

Por otro lado, otro incidente tuvo como vector de entrada la utilización de credenciales comprometidas en un servidor de escritorio remoto con acceso a Internet, pudiendo tener posteriormente los atacantes acceso a contraseñas y otra información, e implementando en última instancia la carga útil de BlackCat para el cifrado de los datos.

Funcionalidad en Office365 facilita el cifrado de archivos en la nube

Investigadores de seguridad de Proofpoint han descubierto una funcionalidad en Office 365 que podría permitir a operadores de ransomware cifrar los archivos almacenados en SharePoint Online y OneDrive, haciéndolos irrecuperables si no se dispone de copias de seguridad o de la clave de descifrado del atacante.

Los investigadores se han centrado en el estudio de estas dos aplicaciones cloud por ser las más usadas en entornos empresariales. El único requisito necesario que fijan tanto para SharePoint Online como para OneDrive es tener acceso inicial, lo cual se puede conseguir mediante el compromiso de la cuenta del usuario (mediante ataques de phishing, de fuerza bruta, etc.), engañándole para que autorice aplicaciones de OAuth de terceros que permitan acceder a este tipo de plataformas, o mediante el secuestro de sesiones, ya sea secuestrando la sesión web de un usuario conectado o secuestrando un token de la API para SharePoint y/o OneDrive.

Una vez se accede, el ataque se basa en el aprovechamiento de la funcionalidad «AutoSave», la cual permite crear copias de seguridad en la nube de versiones antiguas cada vez que los usuarios editan sus archivos. Lo que hace el atacante es reducir el límite de versiones de los archivos que se pueden almacenar a un número muy reducido y cifran el archivo más veces del límite que se ha introducido.

De esta forma, consiguen que las versiones de los archivos que se habían guardado de forma previa al ataque se hayan perdido y que únicamente estén disponibles las versiones cifradas en la cuenta en la nube.

Desde Proofpoint habrían alertado a Microsoft, quien ha indicado que la funcionalidad funciona como debería y que las versiones antiguas de los archivos pueden recuperarse durante 14 días con la ayuda de Microsoft Support.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.