Boletín semanal de ciberseguridad 10-16 de abrilElevenPaths 16 abril, 2021 0-days en Chrome y Edge El investigador de seguridad Rajvardhan Agarwal ha descubierto una vulnerabilidad de tipo 0-day en las versiones actuales de Google Chrome y Microsoft Edge, que ha hecho pública a través de su perfil de Twitter y GitHub. Según informa el medio especializado en ciberseguridad The Record, el código del exploit proviene de una vulnerabilidad que se empleó durante el evento de hacking Pwn2Own la semana pasada. Si bien los detalles de dicha vulnerabilidad nunca se publicaron, Agarwal habría descubierto que se encontraba en el motor de JavaScript V8 de Chromium, revisando el código fuente de los parches. Los desarrolladores de Chromium ya habrían corregido el error, sin embargo, esta corrección aún no formaría parte de las actualizaciones oficiales de navegadores como Google Chrome y Microsoft Edge, que continúan siendo vulnerables. Unos días más tarde, el investigador de seguridad conocido en Twitter como @frust93717815 daba a conocer otra nueva vulnerabilidad 0-day en navegadores basados en Chromium, publicando una PoC en su perfil de Github. Esta nueva vulnerabilidad estaría afectando tanto a Chrome como a Edge y, al igual que la publicada a inicios de semana, podría permitir la ejecución remota de código, pudiendo lograr abrir la aplicación de Windows Notepad. Si bien esta vulnerabilidad no es capaz de escapar al entorno securizado de Chromium, y por ende no es dañina per se, un agente amenaza que logre deshabilitar el argumento de “sandbox” de Chrome (ya sea encadenándola con otras vulnerabilidades o confundiendo al usuario), podría conseguir su explotación. Desde Bleeping Computer han verificado que el exploit es funcional en las últimas versiones de Google Chrome (89.0.4389.128, emitida hace apenas unos días) y Microsoft Edge (89.0.774.76). Ambas vulnerabilidades han sido ya corregidas en la versión 90.0.4430.72 de Google Chrome y en la versión 89.0.774.77 de Microsoft Edge. Más info: https://therecord.media/security-researcher-drops-chrome-and-edge-zero-day-on-twitter/https://twitter.com/frust93717815/status/1382301769577861123 Boletín de seguridad de Microsoft Microsoft ha publicado su boletín mensual de seguridad para este mes de abril en el que ha corregido más de 100 vulnerabilidades. Entre las actualizaciones se encuentran parches para nuevos fallos en las versiones 2013-2019 de Exchange Server (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483), todas ellas con una criticidad alta y dos de las cuales permitirían a un posible atacante ejecutar código remoto sin necesidad de autenticarse. Con respecto a estas vulnerabilidades, se ha conocido que la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha instado a todas las agencias federales a que instalen las actualizaciones antes del viernes. Por otro lado, también se ha corregido una vulnerabilidad en Desktop Window Manager, con CVE-2021-28310 y criticidad media, que estaría siendo activamente explotada por varios actores amenaza para elevar privilegios en sistemas vulnerables. Finalmente, también conviene mencionar varias vulnerabilidades RCE con afectación para Microsoft Office: CVE-2021-28454, CVE-2021-28451 (Excel), CVE-2021-28453 (Word) y CVE-2021-28449. Otros sistemas parcheados han sido Edge, Azure, ShrePoint, Hyper-V, Team Foundation y Visual Studio. Todos los detalles: https://msrc-blog.microsoft.com/2021/04/13/april-2021-update-tuesday-packages-now-available/ Adobe corrige múltiples vulnerabilidades críticas Adobe ha parcheado diferentes vulnerabilidades que afectan a cuatro de sus productos: Adobe Photoshop, Adobe Digital Editions, Adobe Bridge y RoboHelp. Estas ascienden a un total de diez vulnerabilidades, entre las que se encuentran dos fallos críticos catalogados como CVE-2021-28548 y CVE-2021-28549 que afectan a Adobe Photoshop, un fallo crítico (CVE-2021-21100) en Adobe Digital Editions, seis vulnerabilidades, entre ellas cuatro críticas (CVE-2021-21093, CVE-2021-21092, CVE-2021-21094, CVE-2021-21095) que tienen impacto sobre Adobe Bridge y, por último, un fallo con riesgo alto que estaría afectando a RoboHelp. Adobe advierte a sus clientes que actualicen las versiones vulnerables lo antes posible. Para saber más: https://helpx.adobe.com/security.html Campañas de distribución de IcedID Investigadores de Microsoft han detectado recientemente una campaña de distribución del malware IcedID mediante formularios de contacto legítimos en páginas web. Los atacantes estarían completando de manera automatizada formularios de contacto que son recibidos por las víctimas en forma de correo electrónico que a simple vista parece fiable. El mensaje enviado utiliza técnicas de ingeniería social para forzar a la víctima a acceder a un enlace embebido, al utilizar lenguaje de urgencia y amenazas legales por falsas reclamaciones de derechos de autor de imágenes u otros materiales supuestamente utilizados en su página web. El enlace redirige a un inicio de sesión de Google donde la víctima introduce sus credenciales, iniciándose automáticamente la descarga del archivo malicioso que contiene IcedID. Simultáneamente, también investigadores de Uptycs y el analista Ali Aqeel han detectado la distribución de IcedID mediante documentos maliciosos de Microsoft, principalmente Excel y Word. Cabe recordar que IcedID es un troyano bancario que roba información financiera de las víctimas, y que también es capaza de actuar como puerta de entrada a los sistemas infectados para otros malware; se estima que puede ser uno de los vectores de acceso del ransomware RansomEXX, que recientemente ha incluido entre sus víctimas al Ayuntamiento de Castelló. Toda la info: https://www.microsoft.com/security/blog/2021/04/09/investigating-a-unique-form-of-email-delivery-for-icedid-malware/ Entrevista: hablamos de familia, tecnología y #MujeresHacker con María ZabalaTelefónica Tech obtiene las especializaciones de SASE, Cloud y Cortex de Palo Alto Networks
Telefónica Tech Boletín semanal de ciberseguridad, 13—20 de mayo VMware corrige vulnerabilidades críticas en varios de sus productos VMware ha publicado un aviso de seguridad con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que afecta...
Marina Salmerón Uribes AI of Things en el deporte Hace unas semanas, Carolina Marín, la joven deportista española se convirtió, por sexta vez consecutiva en campeona europea de bádminton. Título que suma a su grandísimo palmarés tras ser...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Víctor Vallejo Carballo AI of Things (V): Recomendación y optimización de contenido publicitario en pantallas inteligentes Conoce los beneficios que tecnologías como las pantallas inteligentes y el Big Data ofrecen al sector de la publicidad exterior
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Santiago Morante La Inteligencia Artificial en las películas de ciencia ficción: un patrón recurrente de fascinación y terror Así retrata Hollywood los avances en Inteligencia Artificial: descubre qué es el "patrón R.U.R" y por qué lo aplican muchas películas de ciencia ficción