Boletín semanal ciberseguridad 1-7 de eneroTelefónica Tech 7 enero, 2022 Fallo en la entrega de correo en servidores Microsoft Exchange on-premise Microsoft lanzaba el 2 de enero una solución de emergencia para corregir un fallo por el que se interrumpía la entrega de correo electrónico en los servidores Microsoft Exchange on-premise. Nos encontramos ante un fallo del “año 2022” en el motor de análisis antimalware FIP-FS, una herramienta que se habilitaba en 2013 en los servidores Exchange para proteger a los usuarios ante el correo malicioso. El investigador de seguridad Joseph Roosen indicaba que la causa estaba en que Microsoft usaba una variable int32 firmada para almacenar el valor de la fecha, variable que contaba con un máximo de 2.147.483.647. Las fechas de 2022 tienen un valor mínimo de 2.201.010.001, por lo que sobrepasan la cifra máxima que se puede almacenar, de forma que falla el motor de escaneo y no se puede enviar el correo. El parche de emergencia requiere intervención del usuario (se trata de un script que debe ejecutarse siguiendo unas instrucciones determinadas) y, desde Microsoft advierten que el proceso puede llevar un tiempo. Desde la firma, estarían también trabajando en una actualización que solucione de forma automática el problema. Más detalles: https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-exchange-on-premises-transport-queues/ba-p/3049447 Fallo de seguridad en Uber permite enviar correos desde sus servidores El investigador de seguridad Seif Elsallamy ha descubierto una vulnerabilidad en el sistema de correo empleado por Uber que podría permitir a un agente amenaza enviar emails suplantando la identidad de la compañía. La vulnerabilidad detectada estaría localizada en uno de los endpoints de correos de Uber, el cual se habría expuesto de forma pública y permitiría que un tercero pudiera inyectar código HTML, pudiendo enviar correos simulando ser Uber. El investigador envió al medio digital Bleeping Computer un correo que provenía de la dirección de correo noreply@uber.com, donde se observa un formulario donde se solicita al usuario la confirmación de los datos de su tarjeta de crédito, información que sería enviada más tarde al servidor controlado por Seif Elsallamy. Este correo no entró en la bandeja de spam por provenir de los servidores de Uber. El investigador reportó a Uber la vulnerabilidad a través del programada de recompensas de HackerOne, pero esta fue rechazada por requerir ingeniería social para poder ser explotada. Este problema no es la primera vez que se detecta, pues investigadores como Soufiane el Habti o Shiva Maharaj ya lo habrían reportado tiempo atrás. Asimismo, el investigador expone que, debido a la fuga de información que tuvo Uber en 2016, existen 57 millones de usuarios en riesgo que podrían recibir correos que simularan proceder de Uber. Por su parte Bleeping Computer también se habría comunicado con Uber, sin recibir respuesta por el momento. Toda la info: https://www.bleepingcomputer.com/news/security/uber-ignores-vulnerability-that-lets-you-send-any-email-from-ubercom/ Parche extraordinario para fallos en Windows Server Microsoft publicó un parche de actualizaciones extraordinario que buscaba resolver algunos errores reportados por usuarios de Windows Server. En concreto, algunos usuarios de Windows Server 2019 y 2012 R2 se estarían encontrando con problemas de lentitud excesiva o que derivaban en que los terminales se quedaran en negro. En algunos casos, además, podrían producirse fallos a la hora de acceder a los servidores mediante escritorio remoto. El parche para estas versiones no está disponible en Windows Update y tampoco se instalará de forma automática. En su lugar, los usuarios afectados deberán seguir las instrucciones proporcionadas por Microsoft en su publicación. Se espera que el resto de las versiones de Windows Server reciban parches similares en los próximos días. Para saber más: https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#2772 Técnicas evasivas del malware Zloader Investigadores de CheckPoint han analizado las nuevas técnicas evasivas del malware bancario Zloader. En la nueva campaña analizada, que atribuyen al grupo MalSmoke y que indican estaría realizándose desde noviembre de 2021, la infección comienza con la instalación de Altera Software, una herramienta legítima de monitorización y administración remota para IT, y que se emplea para conseguir acceso inicial de manera sigilosa. De forma complementaria a la utilización de una herramienta legítima, los actores hacen uso de DLL maliciosas con una firma válida de Microsoft para evadir las detecciones. Para ello los actores aprovechan el fallo CVE-2013-3900, una vulnerabilidad conocida desde 2013 por Microsoft, cuyo parche viene deshabilitado por defecto y que permite a un atacante modificar ejecutables firmados añadiendo código malicioso sin invalidar la firma digital. Todos los detalles: https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/ Elephant Beetle: grupo con motivaciones financieras El equipo de respuesta a incidentes de Sygnia han publicado un artículo donde exponen el análisis de Elephant Beetle, un grupo con motivaciones financieras que estaría atentando contra múltiples compañías del sector en Latinoamérica, y al que llevarían siguiendo durante dos años. También clasificado como TG2003, este grupo dedica largos periodos de tiempo en analizar a su víctima, además de su sistema de transferencias, pasando desapercibido por los sistemas de seguridad mediante la imitación de paquetes legítimos y empleando para ello un arsenal de más de 80 herramientas propias. Como vector de entrada predilecto, Elephant Beetle estaría aprovechando aplicaciones Java legítimas desplegadas en sistemas Linux. Desde Sygnia destacan la explotación de vulnerabilidades antiguas sin parchear como: CVE-2017-1000486 (Primetek Primeface), CVE-2015-7450 (WebSphere), CVE-2010-5326 o EDB-ID-24963 (SAP NetWeaver). Una vez estudiada la víctima, crea transacciones fraudulentas de pequeñas cantidades que imitarían los movimientos legítimos de la compañía. Aunque la atribución todavía no es clara, desde Sygnia explican que, tras múltiples análisis de incidentes protagonizados por Elephant Beetle donde han localizado patrones como la palabra “ELEPHANTE” o múltiples C2 que estaban localizados en México, podría tener conexión con países hispanohablantes, más concretamente con Latinoamérica, pudiendo ser México la zona de procedencia. Más info: https://f.hubspotusercontent30.net/hubfs/8776530/Sygnia- Elephant Beetle_Jan2022.pdf ¿Son seguros los SMS para el envío de códigos de verificación?Realidades y mitos de la Inteligencia Artificial para 2022
Telefónica Tech Boletín semanal ciberseguridad 15-21 de enero Campaña de ciberataques contra objetivos ucranianos El equipo de Microsoft Threat Intelligence Center ha estado analizando la sucesión de ciberataques perpetrados contra organizaciones ucranianas que se lleva produciendo desde el pasado 13...
Martiniano Mallavibarrena ¿Realmente estamos comprando de forma “segura” en Internet? Una vez pasado el Black Friday, el día del soltero (si tienes raíces chinas o relación) y las navidades, seguro que la inmensa mayoría de nosotros tiene una larga...
Santiago Morante Deep Learning en Star Wars: que la computación te acompañe Hoy vamos a hablar de cómo la Inteligencia Artificial y, en concreto el Deep Learning, se están infiltrando en los rodajes de películas y series, consiguiendo resultados en efectos...
Telefónica Tech Boletín semanal ciberseguridad 8-14 de enero Boletín de seguridad de Microsoft Microsoft ha publicado su boletín de seguridad de enero donde ha corregido un total de 97 fallos entre los que se encontraban 6 vulnerabilidades 0-day...
Susana Alwasity Riesgos de no tener una exposición de información controlada (I) Bienvenidos a la era digital. Una era en la que abrazamos la tecnología, con lo que nos ofrece prácticamente en casi todas las esferas de nuestra vida. Desde llevar...
Carlos Martínez Miguel Realidades y mitos de la Inteligencia Artificial para 2022 Estamos sólo en la primera etapa de desarrollo de la IA, pero su impacto es ya enorme A la hora de realizar predicciones en el ámbito tecnológico, siempre es recomendable...
