Boletín semanal de ciberseguridad 10-16 de abril

ElevenPaths    16 abril, 2021
Boletín semanal de ciberseguridad 10-16 de abril

0-days en Chrome y Edge

El investigador de seguridad Rajvardhan Agarwal ha descubierto una vulnerabilidad de tipo 0-day en las versiones actuales de Google Chrome y Microsoft Edge, que ha hecho pública a través de su perfil de Twitter y GitHub. Según informa el medio especializado en ciberseguridad The Record, el código del exploit proviene de una vulnerabilidad que se empleó durante el evento de hacking Pwn2Own la semana pasada. Si bien los detalles de dicha vulnerabilidad nunca se publicaron, Agarwal habría descubierto que se encontraba en el motor de JavaScript V8 de Chromium, revisando el código fuente de los parches. Los desarrolladores de Chromium ya habrían corregido el error, sin embargo, esta corrección aún no formaría parte de las actualizaciones oficiales de navegadores como Google Chrome y Microsoft Edge, que continúan siendo vulnerables.

Unos días más tarde, el investigador de seguridad conocido en Twitter como @frust93717815 daba a conocer otra nueva vulnerabilidad 0-day en navegadores basados en Chromium, publicando una PoC en su perfil de Github. Esta nueva vulnerabilidad estaría afectando tanto a Chrome como a Edge y, al igual que la publicada a inicios de semana, podría permitir la ejecución remota de código, pudiendo lograr abrir la aplicación de Windows Notepad. Si bien esta vulnerabilidad no es capaz de escapar al entorno securizado de Chromium, y por ende no es dañina per se, un agente amenaza que logre deshabilitar el argumento de “sandbox” de Chrome (ya sea encadenándola con otras vulnerabilidades o confundiendo al usuario), podría conseguir su explotación. Desde Bleeping Computer han verificado que el exploit es funcional en las últimas versiones de Google Chrome (89.0.4389.128, emitida hace apenas unos días) y Microsoft Edge (89.0.774.76).

Ambas vulnerabilidades han sido ya corregidas en la versión 90.0.4430.72 de Google Chrome y en la versión 89.0.774.77 de Microsoft Edge.

Más info:

Boletín de seguridad de Microsoft

​​Microsoft ha publicado su boletín mensual de seguridad para este mes de abril en el que ha corregido más de 100 vulnerabilidades. Entre las actualizaciones se encuentran parches para nuevos fallos en las versiones 2013-2019 de Exchange Server (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483), todas ellas con una criticidad alta y dos de las cuales permitirían a un posible atacante ejecutar código remoto sin necesidad de autenticarse. Con respecto a estas vulnerabilidades, se ha conocido que la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha instado a todas las agencias federales a que instalen las actualizaciones antes del viernes. Por otro lado, también se ha corregido una vulnerabilidad en Desktop Window Manager, con CVE-2021-28310 y criticidad media, que estaría siendo activamente explotada por varios actores amenaza para elevar privilegios en sistemas vulnerables.  Finalmente, también conviene mencionar varias vulnerabilidades RCE con afectación para Microsoft Office: CVE-2021-28454, CVE-2021-28451 (Excel), CVE-2021-28453 (Word) y CVE-2021-28449. Otros sistemas parcheados han sido Edge, Azure, ShrePoint, Hyper-V, Team Foundation y Visual Studio.

Todos los detalles: https://msrc-blog.microsoft.com/2021/04/13/april-2021-update-tuesday-packages-now-available/

Adobe corrige múltiples vulnerabilidades críticas

Adobe ha parcheado diferentes vulnerabilidades que afectan a cuatro de sus productos: Adobe Photoshop, Adobe Digital Editions, Adobe Bridge y RoboHelp. Estas ascienden a un total de diez vulnerabilidades, entre las que se encuentran dos fallos críticos catalogados como CVE-2021-28548 y CVE-2021-28549 que afectan a Adobe Photoshop, un fallo crítico (CVE-2021-21100) en Adobe Digital Editions, seis vulnerabilidades, entre ellas cuatro críticas (CVE-2021-21093, CVE-2021-21092, CVE-2021-21094, CVE-2021-21095) que tienen impacto sobre Adobe Bridge y, por último, un fallo con riesgo alto que estaría afectando a RoboHelp. Adobe advierte a sus clientes que actualicen las versiones vulnerables lo antes posible.

Para saber más: https://helpx.adobe.com/security.html

Campañas de distribución de IcedID

​​Investigadores de Microsoft han detectado recientemente una campaña de distribución del malware IcedID mediante formularios de contacto legítimos en páginas web. Los atacantes estarían completando de manera automatizada formularios de contacto que son recibidos por las víctimas en forma de correo electrónico que a simple vista parece fiable. El mensaje enviado utiliza técnicas de ingeniería social para forzar a la víctima a acceder a un enlace embebido, al utilizar lenguaje de urgencia y amenazas legales por falsas reclamaciones de derechos de autor de imágenes u otros materiales supuestamente utilizados en su página web.  El enlace redirige a un inicio de sesión de Google donde la víctima introduce sus credenciales, iniciándose automáticamente la descarga del archivo malicioso que contiene IcedID. Simultáneamente, también investigadores de Uptycs y el analista Ali Aqeel han detectado la distribución de IcedID mediante documentos maliciosos de Microsoft, principalmente Excel y Word. Cabe recordar que IcedID es un troyano bancario que roba información financiera de las víctimas, y que también es capaza de actuar como puerta de entrada a los sistemas infectados para otros malware; se estima que puede ser uno de los vectores de acceso del ransomware RansomEXX, que recientemente ha incluido entre sus víctimas al Ayuntamiento de Castelló.

Toda la info: https://www.microsoft.com/security/blog/2021/04/09/investigating-a-unique-form-of-email-delivery-for-icedid-malware/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *