Boletín semanal de ciberseguridad 11 – 17 diciembre

Telefónica Tech    17 diciembre, 2021

Nueva campaña de distribución del troyano bancario Anubis

Investigadores de Lookout han informado sobre una campaña maliciosa en la que se distribuye una nueva versión del troyano bancario Anubis ofuscado en una aplicación móvil de Android que simula ser de la compañía francesa de telecomunicaciones Orange. Actores maliciosos habrían fijado como objetivos a un total de 394 aplicaciones financieras como bancos, billeteras de criptomonedas y plataformas de pago virtual con el objetivo de exfiltrar las credenciales de estos servicios. Anubis es un troyano bancario conocido desde el 2016 cuyo desarrollo no se ha detenido en ningún momento. Una vez instalado en el dispositivo de la víctima, su funcionamiento pasa por mostrar formularios de inicio de sesión fraudulentos de las aplicaciones que se fijan como objetivo para comprometer las credenciales del usuario, así como también cuenta con otras funciones como, grabación de pantalla y sonido, envío y lectura de SMS o escaneo del dispositivo en busca de archivos de interés para exfiltrar. Según la investigación, la distribución de la aplicación de Orange fraudulenta se estaría llevando a cabo a través de sitios web maliciosos, mensajes directos en redes sociales, smishing y publicaciones en foros.

Más info: https://www.bleepingcomputer.com/news/security/anubis-android-malware-returns-to-target-394-financial-apps/

Vulnerabilidad Log4Shell

El pasado viernes 10 de diciembre se dio a conocer una vulnerabilidad 0-day en Apache Log4j, catalogada como CVE-2021-44228. Se trata de una vulnerabilidad que afecta a la librería de registro Java Apache Log4j 2, utilizada por multíplices aplicaciones de empresas en todo el mundo, al tratarse de una librería de código abierto. La explotación de este fallo permitiría la ejecución de código malicioso en servidores o clientes de aplicaciones. El riesgo por tanto provenía de diferentes factores que se unieron:

  • El día 9, el día anterior a la publicación de la versión corregida, ya había disponible un exploit para esta vulnerabilidad.
  • Su explotación es sencilla.
  • Log4j es utilizada a nivel mundial en muchas aplicaciones web.

Esta vulnerabilidad se corregía inicialmente en Log4j 2.15.0. Sin embargo, unos días más tarde se conocía una segunda vulnerabilidad catalogada como CVE-2021-45046, derivada de una incompleta corrección de la vulnerabilidad Log4Shell y se lanzaba la versión Log4j 2.16.0 para corregir definitivamente el fallo. Inicialmente esta segunda vulnerabilidad se catalogaba como de denegación de servicio y se le otorgaba un CVSSv3 de 3.7 pero, en las últimas horas, se ha modificado su riesgo a 9 y su categoría a ejecución remota de código.

Tras la publicación de esta vulnerabilidad, se ha ido conociendo la existencia de diversos intentos de explotación del fallo como el intento de infección con botnets para la instalación de mineros de criptomoneda, su uso para distribuir ransomware (Khonsari) o la distribución del troyano StealthLoader. Es destacable de hecho, que se han encontrado evidencias de su explotación previa al día 9 de diciembre, si bien, la explotación masiva habría dado lugar con la publicación del exploit.

En cuanto a los productos afectados, el listado completo aún no está definido. A lo largo de la semana se han ido conociendo los productos para los que se detectaba afectación poco a poco, siendo el listado más completo el publicado por el Nationaal Cyber Security Centrum (NCSC-NL).

Más información: https://logging.apache.org/log4j/2.x/security.html

Emotet vuelve a utilizar Cobalt Strike

Investigadores de seguridad avisaron en el día de ayer que, tras un breve parón en las operaciones de Emotet la semana pasada, los actores amenaza han comenzado, una vez más, a instalar beacons de Cobalt Strike en los dispositivos infectados con Emotet. Según ha informado el investigador de seguridad Joseph Roosen, del grupo Cryptolaemus especializado en esta amenaza, Emotet está descargando los módulos de Cobalt Strike directamente desde su servidor de Command & Control para posteriormente ejecutarlo en los dispositivos infectados. De esta forma, los atacantes obtienen acceso inmediato a las redes vulneradas. Para ello, los agentes amenaza utilizan un archivos jQuery maliciosos para comunicarse con el C2 y recibir nuevas instrucciones. A pesar de ser un archivo malicioso, la mayor parte del código es legítimo, haciendo más sencillo evadir los sistemas de seguridad de la víctima. Debido al incremento de beacons de Cobalt Strike distribuidos a equipos ya infectados, se prevé un incremento en los incidentes de seguridad sufridos por las compañías durante los próximos meses.

Todos los detalles: https://www.bleepingcomputer.com/news/security/emotet-starts-dropping-cobalt-strike-again-for-faster-attacks/

Nuevos exploits para vulnerabilidades ya corregidas de Microsoft

En las últimas horas se habría detectado la existencia de nuevos exploits para varias vulnerabilidades que se corregían en boletines previos de Microsoft: CVE-2021-42287 y CVE-2021-42278. El primero de los fallos, CVE-2021-42287 CVSSv3 de 8.8 es una vulnerabilidad de elevación de privilegios en los servicios de dominio de Active Directory, corregida por Microsoft en su boletín de seguridad del pasado mes de mayo. Este fallo según indica la propia Microsoft afecta al Certificado de Atributos de Privilegio (PAC) de Kerberos y permite a un atacante hacerse pasar por los controladores de dominio. Para explotarla, una cuenta de dominio comprometida podría hacer que el Centro de Distribución de Claves (KDC) creara un ticket de servicio (ST) con un nivel de privilegio superior al de la cuenta comprometida. Un atacante logra esto impidiendo que el KDC identifique a qué cuenta corresponde el ST de mayor privilegio. Si este fallo se encadena con otra vulnerabilidad corregida en el boletín de noviembre, la CVE-2021-42278 CVSSv3 de 8.8, permitiría a los atacantes alcanzar derechos de administrador de dominio en cualquier entorno de Active Directory. La cadena de explotación es extremadamente fácil de aprovechar, permitiendo a los adversarios elevar sus privilegios incluso sin acceso a la cuenta de usuario estándar subyacente. Hay una actualización disponible para todos los sistemas operativos compatibles. En cualquier caso la mitigación pasa por parchear los controladores de dominio afectados implementando el parche de Microsoft del 14/11/2021 (KB5008602) que soluciona el problema de la confusión del PAC, así como el problema de S4U2self creado por el parche anterior (KB5008380). No obstante, algunas fuentes mencionan que el parche KB5008602 sólo es efectivo en Windows Server 2019 por lo que es recomendable consultar la siguiente guía con el fin de mitigar el problema en otras versiones del producto. Actualmente no se conoce que haya explotación activa de estos fallos, pero sí que observamos que existe un post que explica cómo se podría explotar este problema, así como una herramienta en Github que escanea y explota estas vulnerabilidades. Adicionalmente, en redes sociales se empiezan a observar menciones sobre la posible combinación de estos fallos con la vulnerabilidad crítica Log4j.

Más info: https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html

Vulnerabilidades en dispositivos Lenovo

Investigadores de seguridad de NCC Group han descubierto dos nuevas vulnerabilidades en el componente IMController presente en múltiples dispositivos Lenovo, incluidos portátiles Yoga y ThinkPad, y que estaría afectado a todas las versiones de Lenovo System Interface Foundation anteriores a 1.1.20.3. Lenovo System Interface Foundation es un sistema que se ejecuta con privilegios SYSTEM y que ayuda a los dispositivos Lenovo a comunicarse con aplicaciones universales, proporcionando al usuario funciones como la optimización del sistema y la actualización de controladores, entre otras. Si este se desactiva, las aplicaciones de Lenovo dejarían de funcionar correctamente. Las nuevas vulnerabilidades identificadas (CVE-2021-3922 / 3969 CVSSv3 7.1) podrían permitir que un usuario malintencionado pudiera ejecutar comandos con privilegios de administrador. La primera de ellas es una vulnerabilidad del tipo race condition que permitiría interactuar con el proceso secundario “Pipe” de IMController. El segundo sería un fallo del tipo TOCTOU (time-of-check to time-of-use) que, de ser aprovechado, podría permitir escalar privilegios en el dispositivo vulnerable. NCC Group avisaba a Lenovo de ambos fallos el pasado mes de octubre, emitiéndose finalmente actualizaciones el día 14 de diciembre que solventarían ambos errores, por lo que se recomienda actualizar IMController a la versión 1.1.20.3.

Detalles aquí: https://research.nccgroup.com/2021/12/15/technical-advisory-lenovo-imcontroller-local-privilege-escalation-cve-2021-3922-cve-2021-3969/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *