Boletín semanal ciberseguridad 22 – 29 de abril

​Nueva campaña maliciosa de distribución de RedLine

Investigadores de BitDefender han publicado un informe sobre una nueva campaña de distribución del malware RedLine. Según los analistas, actores maliciosos estarían haciendo uso de RIG Exploit Kit para su distribución, el cual habría incorporado el aprovechamiento de una vulnerabilidad en Internet Explorer que provoca daños en la memoria cuando la víctima accede a un sitio web especialmente diseñado.

Concretamente se trata del fallo identificado como CVE-2021-26411 con un CVSSv3 de 7.8, el cual fue parcheado por Microsoft en marzo de 2021. Posteriormente, una vez aprovechada la vulnerabilidad, el kit distribuye RedLine colocando un archivo JavaScript en un directorio temporal, que a su vez descarga un segundo payload cifrado con RC4, generando el proceso de infección final en el equipo de la víctima.

Cabe destacar que, según indicó al medio digital The Record, Bogdan Botezatu, director de investigaciones en Bitdefender, durante el mes de abril identificaron únicamente con sus soluciones un total de 10.000 ataques de RedLine alrededor del mundo, lo que denota la amplia utilización de este malware para la realización de incidentes de ciberseguridad.

Más info: https://www.bitdefender.com/files/News/CaseStudies/study/415/Bitdefender-PR-Whitepaper-RedLine-creat6109-en-EN.pdf

Escalada de privilegios en el directorio activo de Windows

La firma de seguridad SOCPRIME ha publicado un artículo donde establece que investigadores de seguridad han revelado la existencia de un fallo en el Directorio Activo (AD) de Windows en entornos en los que se utilice la configuración predeterminada.

Este error, podría permitir a un usuario con acceso añadir máquinas al dominio sin necesidad de privilegios de administrador, pudiendo desencadenar en una escalada de privilegios en el sistema vulnerable. Este error, del que existe prueba de concepto, se podría explotar utilizando la herramienta KrbRelayUp.

Una posible mitigación requeriría cambiar la configuración por defecto y eliminar los usuarios autentificados de la política de controladores de dominio por defecto. Se pueden encontrar más detalles sobre la mitigación de la vulnerabilidad en el repositorio de la investigación de Mor Davidovich.

​Nimbuspwn: vulnerabilidades de escalada de privilegios en Linux

El equipo de investigadores de Microsoft ha identificado dos nuevas vulnerabilidades, denominadas Nimbuspwn, que podrían permitir a un atacante elevar privilegios a root en sistemas Linux vulnerables.

En concreto, estos fallos han sido identificados como CVE-2022-29799 y CVE-2022-29800, y se encuentran en el componente networkd-dispatcher, cuya función es realizar cambios en el estado de la interfaz de red.

Según los investigadores, la explotación encadenada de dichas vulnerabilidades permitiría a actores maliciosos alcanzar privilegios de root dando la posibilidad, en fases posteriores, de implementar payloads, backdoors, distribuir malware y/o realizar otras acciones maliciosas a través de la ejecución arbitraria de código.

En último lugar, cabe indicar que Clayton Craft, administrador del componente networkd-dispatcher, ha implementado las correspondientes correcciones y se recomienda a los usuarios que actualicen sus instancias para prevenir posibles ataques.

Más info: https://www.microsoft.com/security/blog/2022/04/26/microsoft-finds-new-elevation-of-privilege-linux-vulnerability-nimbuspwn/