Boletín semanal de ciberseguridad 13-19 febrero

Vulnerabilidad de elevación de privilegios en Windows Defender

El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años. El fallo, catalogado como CVE-2021-24092, con un CVSS de 7.8, permitiría a un atacante no autenticado llevar a cabo una escalada de privilegios en el sistema vulnerable, siendo la complejidad de explotación baja. La vulnerabilidad, corregida en el boletín del 9 de febrero, residiría en el driver encargado de eliminar recursos del sistema, denominado BTR.sys, y se encuentra presente en todas las versiones de Windows Defender a partir de 2009. Desde Microsoft informan que no se ha detectado explotación activa y que todos aquellos usuarios que tengan actualizado Windows Defender a la última versión no se verían afectados.

Toda la información: https://labs.sentinelone.com/cve-2021-24092-12-years-in-hiding-a-privilege-escalation-vulnerability-in-windows-defender/

Francia vincula al grupo ruso Sandworm con ataques a proveedores de alojamiento web

La Agencia Nacional de Ciberseguridad francesa (ANSSI) ha publicado un informe vinculando al grupo ruso Sandworm con una serie de ataques ocurridos entre 2017 y 2020 contra varias entidades tecnológicas francesas, específicamente, proveedores de alojamiento web. La campaña se dirigía al compromiso de servidores expuestos online que funcionasen con el software Centreon, dedicado a la monitorización IT. Todavía se desconoce si el acceso a los mismos se logró mediante un compromiso de la cadena de suministro o mediante la explotación de vulnerabilidades específicas del software. Una vez logrado el compromiso inicial, el actor amenaza desplegaba las puertas traseras Exaramel y PAS Web Shell (también conocida como Fobusell) en las redes afectadas, utilizando servicios públicos y privados de anonimización VPN para comunicarse con el servidor de Command & Control. ANSSI ha publicado indicadores de compromiso para esta amenaza en formato JSON MIST, así como reglas YARA y SNORT para su detección.

Más detalles: https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-005/

​QNAP corrige una vulnerabilidad en Surveillance Station

QNAP ha corregido una vulnerabilidad de desbordamiento de búfer basado en pila que afecta a los dispositivos NAS que ejecuten una versión vulnerable del software Surveillance Station. Este fallo, catalogado como CVE-2020-2501 y con una severidad crítica asignada por el fabricante, permitiría a los atacantes ejecutar código arbitrario y, además, podría alterar servicios de seguridad o soluciones de antivirus que se ejecuten en el dispositivo vulnerable. QNAP ha parcheado la vulnerabilidad en las versiones Surveillance Station 5.1.5.4.3 para los sistemas operáticos de 64 bits, así como Surveillance Station 5.1.5.3.3 para los sistemas operativos de 32 bits.

Más detalles: https://www.qnap.com/en/security-advisory/qsa-21-07

​RIPE NCC sufre un ataque de credential stuffing

El Registro Regional de Internet para Europa, Oriente Medio y Asia Central, RIPE Network Coordination Centre (NCC), ha emitido un comunicado en el que indica haber sido víctima de un ataque de relleno de credenciales (conocido como credential stuffing) contra su servicio de inicio de sesión único (SSO) RIPE NCC Access, el cual permite acceder a varias aplicaciones o servicios con un único conjunto de credenciales. Desde la compañía han informado que, a pesar de haber sufrido alguna interrupción en el servicio, el ataque fue mitigado con éxito y que, tras una primera investigación, no han detectado cuentas vulneradas. Sin embargo, indican que las investigaciones siguen en curso y que informarán individualmente al titular de la cuenta en el caso de que detecten cuentas afectadas. Desde RIPE solicitan que los usuarios activen la autenticación de doble factor para mejorar la seguridad de sus cuentas.

Toda la información: https://www.ripe.net/publications/news/announcements/attack-on-ripe-ncc-access