Boletín semanal ciberseguridad 1-7 de eneroTelefónica Tech 7 enero, 2022 Fallo en la entrega de correo en servidores Microsoft Exchange on-premise Microsoft lanzaba el 2 de enero una solución de emergencia para corregir un fallo por el que se interrumpía la entrega de correo electrónico en los servidores Microsoft Exchange on-premise. Nos encontramos ante un fallo del “año 2022” en el motor de análisis antimalware FIP-FS, una herramienta que se habilitaba en 2013 en los servidores Exchange para proteger a los usuarios ante el correo malicioso. El investigador de seguridad Joseph Roosen indicaba que la causa estaba en que Microsoft usaba una variable int32 firmada para almacenar el valor de la fecha, variable que contaba con un máximo de 2.147.483.647. Las fechas de 2022 tienen un valor mínimo de 2.201.010.001, por lo que sobrepasan la cifra máxima que se puede almacenar, de forma que falla el motor de escaneo y no se puede enviar el correo. El parche de emergencia requiere intervención del usuario (se trata de un script que debe ejecutarse siguiendo unas instrucciones determinadas) y, desde Microsoft advierten que el proceso puede llevar un tiempo. Desde la firma, estarían también trabajando en una actualización que solucione de forma automática el problema. Más detalles: https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-exchange-on-premises-transport-queues/ba-p/3049447 Fallo de seguridad en Uber permite enviar correos desde sus servidores El investigador de seguridad Seif Elsallamy ha descubierto una vulnerabilidad en el sistema de correo empleado por Uber que podría permitir a un agente amenaza enviar emails suplantando la identidad de la compañía. La vulnerabilidad detectada estaría localizada en uno de los endpoints de correos de Uber, el cual se habría expuesto de forma pública y permitiría que un tercero pudiera inyectar código HTML, pudiendo enviar correos simulando ser Uber. El investigador envió al medio digital Bleeping Computer un correo que provenía de la dirección de correo noreply@uber.com, donde se observa un formulario donde se solicita al usuario la confirmación de los datos de su tarjeta de crédito, información que sería enviada más tarde al servidor controlado por Seif Elsallamy. Este correo no entró en la bandeja de spam por provenir de los servidores de Uber. El investigador reportó a Uber la vulnerabilidad a través del programada de recompensas de HackerOne, pero esta fue rechazada por requerir ingeniería social para poder ser explotada. Este problema no es la primera vez que se detecta, pues investigadores como Soufiane el Habti o Shiva Maharaj ya lo habrían reportado tiempo atrás. Asimismo, el investigador expone que, debido a la fuga de información que tuvo Uber en 2016, existen 57 millones de usuarios en riesgo que podrían recibir correos que simularan proceder de Uber. Por su parte Bleeping Computer también se habría comunicado con Uber, sin recibir respuesta por el momento. Toda la info: https://www.bleepingcomputer.com/news/security/uber-ignores-vulnerability-that-lets-you-send-any-email-from-ubercom/ Parche extraordinario para fallos en Windows Server Microsoft publicó un parche de actualizaciones extraordinario que buscaba resolver algunos errores reportados por usuarios de Windows Server. En concreto, algunos usuarios de Windows Server 2019 y 2012 R2 se estarían encontrando con problemas de lentitud excesiva o que derivaban en que los terminales se quedaran en negro. En algunos casos, además, podrían producirse fallos a la hora de acceder a los servidores mediante escritorio remoto. El parche para estas versiones no está disponible en Windows Update y tampoco se instalará de forma automática. En su lugar, los usuarios afectados deberán seguir las instrucciones proporcionadas por Microsoft en su publicación. Se espera que el resto de las versiones de Windows Server reciban parches similares en los próximos días. Para saber más: https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#2772 Técnicas evasivas del malware Zloader Investigadores de CheckPoint han analizado las nuevas técnicas evasivas del malware bancario Zloader. En la nueva campaña analizada, que atribuyen al grupo MalSmoke y que indican estaría realizándose desde noviembre de 2021, la infección comienza con la instalación de Altera Software, una herramienta legítima de monitorización y administración remota para IT, y que se emplea para conseguir acceso inicial de manera sigilosa. De forma complementaria a la utilización de una herramienta legítima, los actores hacen uso de DLL maliciosas con una firma válida de Microsoft para evadir las detecciones. Para ello los actores aprovechan el fallo CVE-2013-3900, una vulnerabilidad conocida desde 2013 por Microsoft, cuyo parche viene deshabilitado por defecto y que permite a un atacante modificar ejecutables firmados añadiendo código malicioso sin invalidar la firma digital. Todos los detalles: https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/ Elephant Beetle: grupo con motivaciones financieras El equipo de respuesta a incidentes de Sygnia han publicado un artículo donde exponen el análisis de Elephant Beetle, un grupo con motivaciones financieras que estaría atentando contra múltiples compañías del sector en Latinoamérica, y al que llevarían siguiendo durante dos años. También clasificado como TG2003, este grupo dedica largos periodos de tiempo en analizar a su víctima, además de su sistema de transferencias, pasando desapercibido por los sistemas de seguridad mediante la imitación de paquetes legítimos y empleando para ello un arsenal de más de 80 herramientas propias. Como vector de entrada predilecto, Elephant Beetle estaría aprovechando aplicaciones Java legítimas desplegadas en sistemas Linux. Desde Sygnia destacan la explotación de vulnerabilidades antiguas sin parchear como: CVE-2017-1000486 (Primetek Primeface), CVE-2015-7450 (WebSphere), CVE-2010-5326 o EDB-ID-24963 (SAP NetWeaver). Una vez estudiada la víctima, crea transacciones fraudulentas de pequeñas cantidades que imitarían los movimientos legítimos de la compañía. Aunque la atribución todavía no es clara, desde Sygnia explican que, tras múltiples análisis de incidentes protagonizados por Elephant Beetle donde han localizado patrones como la palabra “ELEPHANTE” o múltiples C2 que estaban localizados en México, podría tener conexión con países hispanohablantes, más concretamente con Latinoamérica, pudiendo ser México la zona de procedencia. Más info: https://f.hubspotusercontent30.net/hubfs/8776530/Sygnia- Elephant Beetle_Jan2022.pdf ¿Son seguros los SMS para el envío de códigos de verificación?Realidades y mitos de la Inteligencia Artificial para 2022
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...
Telefónica Tech Webinar: Sports Tech, la revolución digital del fútbol El pasado 15 de junio desde Telefónica Tech organizamos un webinar dedicado a la tecnología en el deporte: “Sports Tech, la revolución digital del fútbol”, disponible ya en nuestro...
Álvaro Alegria Meunier El metaverso será para las empresas un medio, no un fin Si algo tenemos claro a estas alturas de 2022 es que la “buzz word” del año en el mundo tecnológico y empresarial será: metaverso. Lo que no termina de estar...
Telefónica Tech Boletín semanal de ciberseguridad, 13 — 17 de junio Hertzbleed. Nuevo ataque de canal lateral contra procesadores AMD e Intel Investigadores de seguridad de varias universidades de Estados Unidos han descubierto un nuevo ataque de canal lateral que afecta...