Boletín semanal de ciberseguridad 20-26 noviembreTelefónica Tech 26 noviembre, 2021 Reacharound: posible resurgimiento de la triple amenaza Trickbot-Emotet-Ransomware El pasado mes de enero tuvo lugar, gracias a una acción internacional coordinada por Europol y Eurojust, la desarticulación de la infraestructura de Emotet, malware extensamente empleado en las primeras fases de la cadena de infección de ransomware. Estos hechos contribuyeron, según investigadores de seguridad, al cierre de múltiples operaciones de ransomware-as-a-service (RaaS) de alto nivel. Sin embargo, desde la semana pasada se viene informando sobre el resurgimiento de esta amenaza por partes de investigadores como GData o AdvIntel, quienes señalaban que operadores del ransomware Conti habrían convencido al antiguo operador de Emotet para la reconstrucción de su infraestructura. Estas acciones se habrían producido mediante una campaña que se habría denominado “Reacharound”, la cual se caracteriza por la infección de dispositivos con TrickBot, el cual incluía un payload de Emotet. Investigadores de AdvIntel estiman que el retorno de esta amenaza supondrá un impacto significativo en las operaciones de ransomware debido a tres razones: la alta sofisticación de las capacidades de Emotet, el fomento del conocido como crime-as-a-service en este ámbito y el regreso de la clásica triple amenaza compuesta por TrickBot-Emotet-Ransomware. Más detalles aquí: https://securityaffairs.co/wordpress/124807/cyber-crime/trickbot-emotet-conti-triad.html Publicada PoC para una vulnerabilidad en Microsoft Exchange El investigador de seguridad @testanull, ha publicado una prueba de concepto (PoC) funcional para la vulnerabilidad identificada como CVE-2021-4231 y CVSS de 8.8, que estaría afectando a Microsoft Exchange, la cual fue corregida por Microsoft en el pasado Boletín de Seguridad de noviembre. La vulnerabilidad estaría afectando a los servicios Exchange Server 2016 y 2019 on-premise, pudiendo permitir a un atacante autenticado ejecutar código arbitrario de manera remota. Desde Microsoft informan que habrían detectado actividad relacionada con el aprovechamiento de esta vulnerabilidad de forma ocasional en ataques dirigidos, por lo que recomiendan su corrección. Cabe destacar que no sería la primera vez que durante el 2021 se aprovechan vulnerabilidades en el servicio de Microsoft Exchange para acometer ataques, pues son conocidos los intentos de explotación de ProxyLogon y ProxyShell. Se recomienda hacer uso del programa de diagnóstico de Exchange para comprobar la posible afectación de estas vulnerabilidades. Toda la info: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169 Nuevo 0-day en Windows con exploit público El investigador de seguridad Abdelhamid Naceri ha hecho público un exploit para un nuevo 0-day en Windows que permitiría a un atacante obtener privilegios de administrador y que afecta a todas las versiones de Windows, incluidas Windows 10, Windows 11 y Windows Server 2022. En concreto Naceri ha conseguido eludir el parche que Microsoft incluía en su boletín mensual de noviembre para una vulnerabilidad de elevación de privilegios en Windows Installer (CVE-2021-41379), vulnerabilidad de la que él mismo informaba a Microsoft. A raíz de este nuevo descubrimiento, ha podido identificar un nuevo 0-day para el que el investigador ha decidido publicar ya el exploit (InstallerFileTakeOver) en su cuenta de GitHub. Con la publicación de este exploit, Naceri pretende unirse al sentimiento de descontento ya mostrado por otros investigadores con Microsoft, por el que denuncian sería una degradación continua de los bounties que se reportan a la firma. Se espera que desde Microsoft parcheen el nuevo fallo en su próximo boletín. El investigador recomienda esperar a la corrección oficial dada la complejidad de la vulnerabilidad. Investigadores de seguridad de Cisco Talos habrían detectado ya muestras de malware que estarían tratando de explotar el nuevo 0-day. Han indicado que los intentos de explotación observados son parte de ataques de bajo volumen, por lo que podría tratarse de pruebas para realizar ajustes en los exploits y que pueden entenderse por tanto como un posible paso previo ante campañas a mayor escala. Descubre más: https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/ Brecha de seguridad en GoDaddy El registrador de dominios GoDaddy ha hecho público un incidente de seguridad detectado el pasado 17 de noviembre, en el que un tercero no autorizado habría accedido al entorno de hosting Managed WordPress de la compañía mediante una contraseña vulnerada. La investigación, que todavía sigue en curso, determina que el atacante tuvo acceso a información de clientes desde el 6 de septiembre de este año hasta el momento de su detección, que fue bloqueado y expulsado del sistema. Entre la información expuesta se encuentra: dirección de correo electrónico y número de cliente de 1.2 millones de usuarios activos e inactivos de Managed WordPress, la contraseña de administrador de WordPress establecida en el momento de la provisión, nombres de usuarios y contraseñas del sFTP y de la base de datos de los usuarios activos y la clave privada de certificados SSL para ciertos usuarios activos. La compañía está contactando con los clientes afectados por esta brecha de seguridad. Cabe destacar que GoDaddy sufrió una fuga de información en mayo del pasado año. Todos los detalles: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm Vulnerabilidades en MediaTek permiten espiar dispositivos Android La compañía de semiconductores MediaTek ha corregido varios fallos de seguridad que podrían haber permitido a los atacantes espiar llamadas telefónicas de dispositivos Android, ejecutar comandos o escalar privilegios. Los SoC (System on a chip) de MediaTek están integrados en alrededor del 37% de los smartphones y dispositivos IoT del mundo, incluyendo dispositivos de marcas como Xiaomi, Realme y Vivo, entre otras. Tres de estas vulnerabilidades (CVE-2021-0661, CVE-2021-0662 y CVE-2021-0663) se deben a una comprobación incorrecta de límites y fueron corregidas en el boletín de seguridad de MediaTek del pasado mes de octubre, todas ellas con CVSS de 6.7. La cuarta vulnerabilidad tiene asignado el identificador CVE-2021-0673 pero todavía no ha sido corregida. La compañía publicará más detalles sobre el fallo, así como su corrección, en el próximo boletín de seguridad que se publicará en diciembre. Más información: https://research.checkpoint.com/2021/looking-for-vulnerabilities-in-mediatek-audio-dsp/ Tecnología y psicología social aplicada al consumo en Internet: el caso “Black Friday”#MujeresHacker: Orgullosas de todas vosotras
AI of Things Qué es el invierno-IA y cómo evitarlo ¿Estamos al borde de un nuevo invierno-IA? ¿Qué factores podrían propiciarlo? Cómo una legislación restrictiva, la falta de formación y de avances tecnológicos y otras preocupaciones podrían impactar el...
Telefónica Tech El poder de la digitalización sostenible en la lucha contra el cambio climático El cambio climático es considerado el mayor desafío de nuestro tiempo. Sus efectos abarcan desde la desertización y sequías hasta inundaciones y aumento del nivel del mar. Algunas de...
Telefónica Tech Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio Descubierta puerta trasera en cientos de placas base Gigabyte Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte,...
Nacho Palou Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los...
Carlos Rebato Criptografía, una herramienta para proteger los datos compartidos en la red Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las...
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...
