Boletín semanal de ciberseguridad 16-22 octubre

Telefónica Tech    22 octubre, 2021
Boletín ciberseguridad

​​​​Zerodium interesado en adquirir 0-days de software VPN para Windows

La empresa de seguridad de la información Zerodium ha informado de su voluntad de comprar vulnerabilidades 0-day dirigidas al software de servicios VPN para sistemas Windows: ExpressVPN, NordVPN y Surfshark. La empresa ha mostrado interés en aquellos exploits que puedan revelar información personal de los usuarios, fugas de IPs o permitir la ejecución remota de código. Cabe recordar que Zerodium es conocido por la compra de 0-days en diferentes aplicaciones que vende posteriormente a agencias policiales y gubernamentales, por lo que el objetivo de estas nuevas adquisiciones es fácilmente identificable. Sin embargo, este hecho ha generado cierta controversia, tal y como ha recogido The Record, ya que muchos usuarios utilizan aplicaciones VPN para preservar su privacidad en países con regímenes opresores, y se desconoce quiénes son los clientes finales a quien Zerodium vende su tecnología. Por el momento, ninguna de las compañías proveedoras de VPN se ha pronunciado al respecto.

Más información: https://twitter.com/Zerodium/status/1450528730678444038

LightBasin: la amenaza contra compañías del sector de las telecomunicaciones

Investigadores de CrowdStrike han publicado un nuevo análisis acerca del actor amenaza conocido como LightBasin o UNC1945, distinguido por atentar contra compañías del sector de las telecomunicaciones desde 2016.  Relacionado con intereses chinos, LightBasin suele seleccionar como objetivo en sus operaciones sistemas Linux o Solaris, por estar altamente relacionados con su sector predilecto. CrowdStrike ha observado nuevas Técnicas, Tácticas y Procedimientos (TTPs) asociadas a este grupo. Ejemplo de ellas, es que LightBasin habría aprovechado servidores DNS externos (eDNS) para propagar sus operaciones, o TinyShell, un software de emulación SGSN open-source, para canalizar el tráfico del servidor C2. Cabe destacar que los eDNS son una pieza fundamental en las redes de radiofrecuencia (GPRS) empleadas para el roaming entre los diferentes operadores móviles. Los investigadores señalan el alto conocimiento en redes y protocolos de este grupo, afirmando que LightBasin habría comprometido al menos trece compañías de telecomunicaciones tan solo en el año 2019.

Más información aquí: https://www.crowdstrike.com/blog/an-analysis-of-lightbasin-telecommunications-attacks/

RedLine Stealer: fuente principal de datos de dos markets de la Dark Web

​La división de investigación de ciberseguridad de Recorded Future, Inskirt Group, ha publicado un informe donde identifica al malware RedLine Stealer como la fuente principal de credenciales robadas que son comercializadas en dos markets de la Dark Web: Amigos Market y Russian Market. RedLine Stealer es un infostealer que tiene la capacidad de recopilar credenciales de clientes FTP, de inicio de sesión en navegadores web, aplicaciones de correo, así como extraer cookies de autenticación y números de tarjetas guardados en los navegadores de los dispositivos infectados. Durante la investigación, el equipo de Inskirt Group detectó la publicación de listados idénticos en ambos mercados de manera simultánea, que contenían la misma información sustraída a las víctimas, y que superaba con creces a las aportaciones de otros malware en ambos foros. Además, cabe destacar que, aunque Redline Stealer fue desarrollado por el actor amenaza REDGlade, actualmente se están distribuyendo varias versiones, similares a la original, que han generado una mayor expansión de este.

Lee la información completa aquí: https://go.recordedfuture.com/hubfs/reports/mtp-2021-1014.pdf

Vulnerabilidad en WinRAR

​Investigadores de Positive Technologies han descubierto una nueva vulnerabilidad en la versión de prueba del software de compresión de datos WinRAR para Windows. El fallo, que ha recibido el identificador CVE-2021-35053, podría permitir a un atacante interceptar y modificar las peticiones enviadas al usuario de la aplicación, lo que podría emplearse para ejecutar código de forma remota en el equipo de la víctima. En concreto, los investigadores descubrieron que interceptando el código de respuesta que se envía cuando WinRAR alerta a los usuarios del fin del periodo de prueba, y modificándolo a un mensaje “301 Moved Permanently”, la redirección al dominio malicioso controlado por el atacante es cacheada y ya todas las peticiones se redirigen a este. Una vez el atacante tiene acceso al mismo dominio de red, ya puede realizar acciones como iniciar aplicaciones de forma remota, recuperar información del host local o incluso ejecutar código arbitrario. Cabe destacar que la vulnerabilidad afecta al software en la versión 5.70, y ha sido corregido en la versión 6.02 de WinRAR, lanzada el pasado 14 de junio.

Toda la información: https://swarm.ptsecurity.com/winrars-vulnerable-trialware-when-free-software-isnt-free/

SmashEx – Vulnerabilidad en Intel SGX

Investigadores de diferentes universidades de China, Singapur y Suiza han descubierto una vulnerabilidad en Intel Software Guard Extensions, también conocido como Intel SGX, una característica de seguridad basada en hardware presente en la mayoría de los procesadores de Intel actuales, que permite a un sistema operativo o aplicación asignar regiones privadas de memoria, denominadas enclaves, para aislar la información y protegerse de procesos que se ejecutan a niveles de privilegios más altos. El fallo, denominado SmashEx, permitiría al atacante acceder a la información almacenada en estos enclaves y ejecutar código arbitrario. Según los investigadores, habrían conseguido explotar dos sistemas SGX en tiempo de ejecución ampliamente utilizados: Intel SGX SDK y Microsoft Open Enclave, que ejecutan las librerías OpenSSL y cURL, respectivamente. Por su parte, Intel y Microsoft han lanzado parches de seguridad para corregir estos fallos en sus respectivos SDKs, Intel SGX SDK (CVE-2021-0186) y Open Enclave SDK (CVE-2021-33767). Sin embargo, el fallo afecta a otros SDKs de desarrolladores como Google, Apache o ARM que todavía no han solventado el problema.

Más información: https://arxiv.org/ftp/arxiv/papers/2110/2110.06657.pdf

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *