Boletín semanal de ciberseguridad 18-24 septiembre

Telefónica Tech    24 septiembre, 2021
Boletín ciberseguridad 18-24 sept

Campaña de malware utilizando TeamViewer en webs bajo IIS

Investigadores de Malwarebytes han observado una campaña de distribución de malware desde principios de septiembre que hace uso de páginas previamente vulneradas bajo el funcionamiento del servidor web de Microsoft, Internet Information Services (IIS). El vector de ataque consiste en mostrar una alerta falsa de certificado caducado del tipo «Detected a potential security risk and has not extended the transition to [sitename]. Updating a security certificate may allow this connection to succeed. NET::ERR_CERT_OUT_OF_DATE.» que, a su vez, sugiere al usuario la descarga de un “instalador de actualizaciones” malicioso que, en realidad ofusca el conocido troyano TVRAT. Una vez que la víctima ejecuta el software malicioso se instalará junto al software de control remoto TeamViewer, otorgando al actor amenaza una comunicación directa con su servidor de command and control y un control total sobre el equipo comprometido. Hasta la fecha, no se conocen con exactitud los métodos específicos utilizados para comprometer servidores IIS, si bien existen diferentes códigos de explotación disponibles que la propia Microsoft parcheó el pasado mes de mayo (CVE-2021-31166).

Más info: https://www.bleepingcomputer.com/news/security/hacked-sites-push-teamviewer-using-fake-expired-certificate-alert/

BulletProofLink: campaña masiva de phishing

Investigadores de seguridad de Microsoft han publicado los detalles de una campaña masiva de phishing como servicio (PHaaS) que utiliza una infraestructura similar a la de un hosting y ofrece diferentes servicios a los actores amenaza, tales como kits y plantillas de phishing. Según indican las investigaciones, BulletProofLink, que así se denomina esta campaña, va más allá de los tradicionales kits de phishing, esto se debe a que tras un registro inicial en su portal previo pago de 800$, ofrece un servicio integral con servicio de hosting, generación de dominios, envío de correos electrónicos, recopilación de credenciales e inicios de sesión sustraidos y que, posteriormente, puede ir evolucionando con modificaciones de las plantillas de phishing de entre las más de 120 que tienen disponibles. No obstante, Microsoft ya ha advertido de que los operadores de BulletProofLink engañan a sus propios clientes almacenando las credenciales sustraídas en los ataques materializados para acabar vendiéndolas en otros foros underground. Se calcula que la campaña ha llegado a utilizar hasta la fecha más de 300 mil subdominios únicos de reciente creación, lo que evidencia la magnitud del impacto de esta campaña.

Todos los detalles: https://www.microsoft.com/security/blog/2021/09/21/catching-the-big-fish-analyzing-a-large-scale-phishing-as-a-service-operation/

Fallo en Autodiscover de Microsoft Exchange permite exfiltrar credenciales

Amit Serper, ingeniero de seguridad en Guardicore, ha descubierto un fallo de implementación en el protocolo Autodiscover de Microsoft Exchange el cual podría permitir la exfiltración de credenciales. Autodiscover es un protocolo que utiliza Microsoft Exchange para proveer a sus clientes de una forma sencilla y automática de configuración del cliente Exchange y sus diferentes aplicaciones, como Outlook, en su infraestructura. Una vez instalado, el proceso normal es que la aplicación solicite el nombre de usuario y contraseña para proceder de forma automática a configurar el cliente, intentando crear una URL de detección automática (Autodiscover.TLD) basada en la dirección de correo facilitada por el usuario. En caso de que ninguna de las URLs autogeneradas responda, se inicia una fase de retroceso que tiende siempre a fallar debido a que intenta resolver la parte automática del dominio (Autodiscover.TLD), viendo que quien sea propietario del dominio Autodiscover.TLD recibiría todas las peticiones que no lleguen al dominio original. Para probar el fallo, Serper y su equipo compraron diferentes dominios de detección automática con diferentes TLDs, recibiendo peticiones de gran cantidad de clientes de múltiples sectores. Tras las pruebas realizadas, Guardicore habría conseguido más de 90.000 credenciales únicas provenientes de varias aplicaciones como Outlook y más de 350.000 credenciales de dominio de Windows, determinado que la afectación es global.

Más: https://www.guardicore.com/labs/autodiscovering-the-great-leak/

Nueva vulnerabilidad 0-day en Apple explotada en dispositivos iOS y macOS

Investigadores de seguridad de Google han informado a Apple de una nueva vulnerabilidad 0-day que afecta a dispositivos iOS y macOS. Además, la propia Apple ha reconocido que este fallo puede estar siendo explotado activamente en la red por actores amenaza. En concreto, la vulnerabilidad se localiza en el kernel del sistema operativo XNU, que ha sido registrada bajo la denominación CVE-2021-30869 y por el momento no tiene asignada criticidad bajo la escala CVSSv3. Sin embargo, hay que tener en cuenta que se trata de un fallo que puede llevar a la ejecución de código arbitrario en un dispositivo comprometido, por lo que su criticidad en cualquier caso se considera alta. Hay que tener en cuenta que sólo durante este año 2021, Apple ya ha tenido que resolver más de 10 vulnerabilidades 0-day. En este caso, los correspondientes parches que solucionan el problema ya están disponibles para los siguientes dispositivos afectados: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, iPod touch (6ª generación) con iOS 12.5.5 y Mac con la actualización de seguridad 2021-006 Catalina.

Toda la info: https://support.apple.com/en-us/HT212824

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *