Boletín semanal ciberseguridad 1-7 de enero

Fallo en la entrega de correo en servidores Microsoft Exchange on-premise

Microsoft lanzaba el 2 de enero una solución de emergencia para corregir un fallo por el que se interrumpía la entrega de correo electrónico en los servidores Microsoft Exchange on-premise. Nos encontramos ante un fallo del “año 2022” en el motor de análisis antimalware FIP-FS, una herramienta que se habilitaba en 2013 en los servidores Exchange para proteger a los usuarios ante el correo malicioso. El investigador de seguridad Joseph Roosen indicaba que la causa estaba en que Microsoft usaba una variable int32 firmada para almacenar el valor de la fecha, variable que contaba con un máximo de 2.147.483.647. Las fechas de 2022 tienen un valor mínimo de 2.201.010.001, por lo que sobrepasan la cifra máxima que se puede almacenar, de forma que falla el motor de escaneo y no se puede enviar el correo. El parche de emergencia requiere intervención del usuario (se trata de un script que debe ejecutarse siguiendo unas instrucciones determinadas) y, desde Microsoft advierten que el proceso puede llevar un tiempo. Desde la firma, estarían también trabajando en una actualización que solucione de forma automática el problema.

Más detalles: https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-exchange-on-premises-transport-queues/ba-p/3049447

Fallo de seguridad en Uber permite enviar correos desde sus servidores

El investigador de seguridad Seif Elsallamy ha descubierto una vulnerabilidad en el sistema de correo empleado por Uber que podría permitir a un agente amenaza enviar emails suplantando la identidad de la compañía. La vulnerabilidad detectada estaría localizada en uno de los endpoints de correos de Uber, el cual se habría expuesto de forma pública y permitiría que un tercero pudiera inyectar código HTML, pudiendo enviar correos simulando ser Uber.  El investigador envió al medio digital Bleeping Computer un correo que provenía de la dirección de correo noreply@uber.com, donde se observa un formulario donde se solicita al usuario la confirmación de los datos de su tarjeta de crédito, información que sería enviada más tarde al servidor controlado por Seif Elsallamy. Este correo no entró en la bandeja de spam por provenir de los servidores de Uber. El investigador reportó a Uber la vulnerabilidad a través del programada de recompensas de HackerOne, pero esta fue rechazada por requerir ingeniería social para poder ser explotada. Este problema no es la primera vez que se detecta, pues investigadores como Soufiane el Habti o Shiva Maharaj ya lo habrían reportado tiempo atrás.  Asimismo, el investigador expone que, debido a la fuga de información que tuvo Uber en 2016, existen 57 millones de usuarios en riesgo que podrían recibir correos que simularan proceder de Uber. Por su parte Bleeping Computer también se habría comunicado con Uber, sin recibir respuesta por el momento.

Toda la info: https://www.bleepingcomputer.com/news/security/uber-ignores-vulnerability-that-lets-you-send-any-email-from-ubercom/

Parche extraordinario para fallos en Windows Server

Microsoft publicó un parche de actualizaciones extraordinario que buscaba resolver algunos errores reportados por usuarios de Windows Server. En concreto, algunos usuarios de Windows Server 2019 y 2012 R2 se estarían encontrando con problemas de lentitud excesiva o que derivaban en que los terminales se quedaran en negro. En algunos casos, además, podrían producirse fallos a la hora de acceder a los servidores mediante escritorio remoto. El parche para estas versiones no está disponible en Windows Update y tampoco se instalará de forma automática. En su lugar, los usuarios afectados deberán seguir las instrucciones proporcionadas por Microsoft en su publicación. Se espera que el resto de las versiones de Windows Server reciban parches similares en los próximos días.

Para saber más: https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#2772

Técnicas evasivas del malware Zloader

Investigadores de CheckPoint han analizado las nuevas técnicas evasivas del malware bancario Zloader. En la nueva campaña analizada, que atribuyen al grupo MalSmoke y que indican estaría realizándose desde noviembre de 2021, la infección comienza con la instalación de Altera Software, una herramienta legítima de monitorización y administración remota para IT, y que se emplea para conseguir acceso inicial de manera sigilosa. De forma complementaria a la utilización de una herramienta legítima, los actores hacen uso de DLL maliciosas con una firma válida de Microsoft para evadir las detecciones. Para ello los actores aprovechan el fallo CVE-2013-3900, una vulnerabilidad conocida desde 2013 por Microsoft, cuyo parche viene deshabilitado por defecto y que permite a un atacante modificar ejecutables firmados añadiendo código malicioso sin invalidar la firma digital.

Todos los detalles: https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/

Elephant Beetle: grupo con motivaciones financieras

El equipo de respuesta a incidentes de Sygnia han publicado un artículo donde exponen el análisis de Elephant Beetle, un grupo con motivaciones financieras que estaría atentando contra múltiples compañías del sector en Latinoamérica, y al que llevarían siguiendo durante dos años. También clasificado como TG2003, este grupo dedica largos periodos de tiempo en analizar a su víctima, además de su sistema de transferencias, pasando desapercibido por los sistemas de seguridad mediante la imitación de paquetes legítimos y empleando para ello un arsenal de más de 80 herramientas propias. Como vector de entrada predilecto, Elephant Beetle estaría aprovechando aplicaciones Java legítimas desplegadas en sistemas Linux. Desde Sygnia destacan la explotación de vulnerabilidades antiguas sin parchear como: CVE-2017-1000486 (Primetek Primeface), CVE-2015-7450 (WebSphere), CVE-2010-5326 o EDB-ID-24963 (SAP NetWeaver). Una vez estudiada la víctima, crea transacciones fraudulentas de pequeñas cantidades que imitarían los movimientos legítimos de la compañía.  Aunque la atribución todavía no es clara, desde Sygnia explican que, tras múltiples análisis de incidentes protagonizados por Elephant Beetle donde han localizado patrones como la palabra “ELEPHANTE” o múltiples C2 que estaban localizados en México, podría tener conexión con países hispanohablantes, más concretamente con Latinoamérica, pudiendo ser México la zona de procedencia.  

Más info: https://f.hubspotusercontent30.net/hubfs/8776530/Sygnia- Elephant Beetle_Jan2022.pdf