Boletín semanal de ciberseguridad, 9 — 15 de julio

Telefónica Tech    15 julio, 2022
Foto: Christina Wocintechchat.com / Unsplash

Rozena: backdoor distribuido mediante la explotación de la vulnerabilidad Follina 

El equipo de investigadores de Fortinet ha publicado el análisis de una campaña maliciosa en la que han detectado la distribución de una nueva puerta trasera aprovechando la conocida vulnerabilidad denominada Follina (CVE-2022-30190).

En concreto, este nuevo software malicioso ha recibido el nombre de Rozena y su función principal es inyectar un shell inverso al host del atacante, permitiendo a actores maliciosos tomar el control del sistema de la víctima, así como posibilitar la monitorización y captura de información, y/o mantener una puerta trasera al sistema comprometido.

Con relación a la metodología empleada para realizar la infección, esta consiste en distribuir documentos de office maliciosos, que cuando se ejecutan, estos se conectan a una URL de Discord que recupera un archivo HTML que, a su vez, invoca la herramienta vulnerable de diagnóstico de soporte de Microsoft Windows (MSDT), dando como resultado la descarga del payload, en el que está incluido Rozena.  

Más info

* * *

Microsoft corrige un 0-day activamente explotado

Microsoft ha publicado recientemente su boletín de seguridad correspondiente al mes de julio donde corrige un total de 84 vulnerabilidades, entre ellas un 0-day activamente explotado.

Del total de fallos detectados, 5 se corresponderían con vulnerabilidades de denegación de servicio, 11 de divulgación de información, 4 de omisión de funciones de seguridad, 52 de elevación de privilegios, y 12 de ejecución remota de código. Dentro de este último tipo es donde se encuentran las cuatro vulnerabilidades clasificadas como críticas (CVE-2022-30221, CVE-2022-22029, CVE-2022-22039, CVE-2022-22038), siendo el resto de las vulnerabilidades de gravedad alta.

Cabe destacar el 0-day, catalogado como CVE-2022-22047 con un CVSSv3 7.8, descubierto por Microsoft Threat Intelligence Center (MSTIC) y Microsoft Security Response Center (MSRC), implica una vulnerabilidad de elevación de privilegios CSRSS de Windows, lo que podría permitir a un atacante obtener privilegios de SYSTEM.

De acuerdo con Microsoft se habría detectado la explotación activa de este fallo si bien por el momento no se han aportado más detalles al respecto, por lo que se recomienda aplicar los parches lo antes posible. Asimismo, la CISA ha añadido esta vulnerabilidad a su catálogo de vulnerabilidades activamente explotadas.

Más info → 

* * *

Vulnerabilidad en la autenticación de un componente de AWS Kubernetes

La investigadora de seguridad Gafnit Amiga ha descubierto la existencia de varios fallos de seguridad en el proceso de autenticación de IAM Authenticator de AWS, un componente para Kubernetes utilizado por Amazon Elastic Kubernetes Service (EKS).

El fallo radica en una incorrecta validación de parámetros de consulta dentro del plugin del autenticador cuando se configura el uso del parámetro “AccessKeyID” de la plantilla dentro de las cadenas de consulta.

Su explotación, podría permitir a un atacante evadir la protección existente contra ataques de repetición u obtener los permisos más elevados en el clúster haciéndose pasar por otras identidades; es decir, escalar privilegios dentro del clúster de Kubernetes.

Según la investigadora, dos de los fallos identificados existen desde el primer lanzamiento de 2017, mientras que el tercero, que es el que permite la suplantación de identidades, es explotable desde septiembre de 2020.

A los fallos en su conjunto se les ha identificado como CVE-2022-2385 y han recibido una criticidad alta. Por su parte AWS ha confirmado que desde el pasado 28 de junio todos los clústers de EKS han sido actualizados con una nueva versión de IAM Authenticator donde se soluciona el problema.

Los clientes que gestionan sus propios clústers y que utilizan el parámetro «AccessKeyID» del complemento del autenticador deben actualizar a la versión 0.5.0 de AWS IAM Authenticator for Kubernetes.

Más info

* * *

VMware corrige vulnerabilidad en vCenter Server

Recientemente VMware ha publicado una nueva versión de vCenter Server 7.0 3f en la que corrige, ocho meses después, una vulnerabilidad en el mecanismo de autenticación integrada con Windows descubierta por Crowdstrike y con CVE-2021-22048.

Este fallo solo puede ser explotado desde la misma red física o lógica en la que esté el servidor afectado, y aunque se trata de un ataque complejo, requiere pocos privilegios y no necesita interacción del usuario.

No obstante, desde el NIST se apunta a que podría ser explotado de forma remota. Las versiones de vCenter Server afectadas por la vulnerabilidad son la 6.5, 6.7 y 7.0. Para aquellos que no puedan actualizar a la versión más reciente ya parcheada, la compañía ha proporcionado unas medidas de mitigación que pasan por cambiar a un modelo de autenticación de Directorio Activo sobre LDAP. La CVE-2021-22048 también afecta a las versiones 3 y 4 de WMware Cloud Foundation, sin que hayan sido corregidas por el momento. 

Mas info → 

* * *

Campaña de phishing a través de Anubis Network

El medio portugués Segurança Informatica ha publicado detalles sobre una nueva oleada de la persistente campaña de phishing, que hace uso del portal Anubis Network para configurar sus ataques y que llevaría activa desde marzo de 2022.

Los usuarios afectados, principalmente de Portugal y Brasil, reciben mensajes smishing o phishing de servicios financieros donde los usuarios se ven obligados a indicar su número de teléfono y su número PIN, para en segunda instancia ser redirigidos a páginas bancarias donde se solicitan sus credenciales de acceso.

De acuerdo con los investigadores, el servidor Command & Control, alojado en Anubis Network, está controlado por cerca de 80 operadores. Asimismo, el análisis muestra como Anubis ofrece facilidades para hacer tracking de los datos de los usuarios, de los dominios falsos creados para suplantar a los bancos y de las direcciones de email temporales que los operadores pueden configurar para cada caso.

​​More info

Deja una respuesta

Tu dirección de correo electrónico no será publicada.