Boletín semanal ciberseguridad 22-28 de enero

Telefónica Tech    28 enero, 2022
Boletín semanal ciberseguridad enero

Nuevas vulnerabilidades en Linux

Recientemente se han dado a conocer dos nuevas vulnerabilidades de riesgo algo que estarían afectando a sistemas Linux, y que, de ser explotadas podrían permitir escalar privilegios en el sistema vulnerable.

·         CVE-2021-4034 (PwnKit): Investigadores de Qualys han descubierto un fallo de corrupción de memoria, que reside en el programa pkexec de polkit y podría permitir a un atacante local escalar privilegios en un sistema vulnerable, pudiendo llegar incluso a privilegios de root. Horas después de la publicación del artículo de Qualys, se hacía pública la primera prueba de concepto (PoC) que permitiría el aprovechamiento de este fallo. Desde Qualys recomiendan aplicar los parches disponibles que los autores de Polkit han publicado en Gitlab.

·         CVE-2022-0185: Vulnerabilidad de desbordamiento de buffer, que reside en el kernel de Linux y podría permitir a un atacante escapar de los contendedores de Kubernetes y tomar el control del nodo, teniendo como requisito tener habilitado el privilegio CAP_SYS_ADMIN. Los investigadores apuntan que la explotación de este fallo es sencilla, por lo que recomiendan actualizar a la mayor brevedad posible ya que, según ha revelado Crusaders of Rust (CoR), equipo que descubrió el fallo, publicarán el código de explotación en las próximas semanas en su repositorio de Github.

Toda la info aquí

Revocación de certificados SSL/TLS de Let’s Encrypt por error de implementación

Let’s Encrypt ha anunciado en un comunicado que el viernes 28 de enero va a revocar ciertos certificados SSL/TLS debido a dos irregularidades en la implementación del método de validación. Según exponen, esto solo afecta a los certificados que fueron emitidos y validados mediante el reto TLS-ALPN-01 antes del día 26 de febrero las 00:48 UTC, momento en el que el error de implementación fue corregido. Además, indican que esto solo afectará a menos del 1% de los certificados. Desde Let’s Encrypt comunicarán a los usuarios afectados las pautas que deberán seguir para la renovación de estos. Cabe destacar que no es la primera vez que Let’s Encrypt se enfrenta a un problema de este tipo, pues en octubre de 2021 expiraron los certificados raíz DST Root CA X3.

Más info

Campaña de espionaje empleando OneDrive como C2

Investigadores de Trellix han publicado los detalles de una campaña de espionaje en múltiples fases que tendría como objetivos oficiales gubernamentales de alto rango y trabajadores del sector de la defensa en Asia occidental. El inicio de la campaña se fecha en octubre, pero la preparación de la infraestructura podría remontarse al mes de junio. El vector de entrada sería un documento de Excel, posiblemente enviado por correo electrónico, que explota una vulnerabilidad de ejecución remota de código en MSHTML (CVE-2021-40444), corregida por Microsoft en su boletín de actualizaciones de septiembre.

Esta explotación permite el despliegue de un malware conocido como Graphite, que emplea la API de Microsoft Graph para poder utilizar OneDrive como servidor de Command & Control. Una vez establecida la conexión con el C2 se descarga finalmente Empire, un framework de post-explotación open-source muy utilizado con fines ilícitos. Debido a las múltiples etapas de la cadena de infección, que facilitan la evasión, además del empleo de nuevas técnicas como el uso de OneDrive como C2 con el que consiguen que todas las conexiones se realizan en dominios legítimos de Microsoft, estamos ante una campaña de alta sofisticación. Atendiendo a los objetivos, los investigadores apuntan a una posible atribución a la APT28 (aka Sofacy, Strontium, Fancy Bear o Sednit) de procedencia rusa.

Todos los detalles

​​Apple corrige nuevo 0-day aprovechado para vulnerar dispositivos iOS

Apple ha publicado nuevas actualizaciones de seguridad para iOS 15.3 y iPadOS 15.3, así como para macOS Monterey 12.2, en las que ha corregido dos vulnerabilidades 0-day. 

·         El primero de los fallos, denominado CVE-2022-22587, se trata de un fallo de corrupción de memoria en el IOMobileFrameBuffer que afecta a iOS, iPadOS y macOS Monterey. La explotación exitosa de esta vulnerabilidad podría permitir la ejecución de código arbitrario con privilegios del kernel en los dispositivos comprometidos. Desde Apple destacan que fallo está siendo activamente explotado. 

·         El segundo 0-day, es un fallo en Safari WebKit en iOS y iPadOS que permitiría a los sitios web rastrear la actividad de navegación y la identidad de usuarios en tiempo real. Esta vulnerabilidad, clasificada como CVE-2022-22594, fue descubierta por primera vez por Martin Bajanik de FingerprintJS el pasado 28 de noviembre, pero no fue publicada hasta el 14 de enero, siendo corregida en esta actualización.

Conoce más detalles aquí

​​Trickbot refuerza sus protecciones para evadir detección y análisis

Investigadores de IBM Trusteer han analizado campañas recientes del malware Trickbot, en las que los operadores detrás de este troyano han añadido capas de protección adicional a sus inyecciones para evitar que sean analizadas y detectadas. Estas inyecciones de código son utilizadas en tiempo real cuando un usuario con un dispositivo infectado intenta acceder a su cuenta bancaria, las inyecciones están diseñadas para interceptar y modificar la información que sale del navegador antes de que llegue al servidor del banco. La mayoría de las muestras en las que se han detectado estas nuevas capacidades han sido aplicadas en casos de fraude bancario, una de las principales actividades de Trickbot.

Entre las actualizaciones implementadas se incluye un nuevo mecanismo de inyección del lado del servidor, comunicaciones cifradas con el C2 (Command&Control), una función anti-debugging y nuevas formas de ofuscar y ocultar el código inyectado. Por otro lado, investigadores de seguridad han reportado que los operadores de Emotet, software malicioso que previamente infecta el dispositivo para en una segunda fase distribuir malware como Trickbot, también han mejorado sus técnicas de evasión mediante el uso de direcciones IP hexadecimales y octales, estarían ocupando el mismo proveedor de Webshells que TR con Qakbot o Squirrelwaffle, identificando hasta 138 sitios comprometidos por este malware.

Descubre más aquí

Deja una respuesta

Tu dirección de correo electrónico no será publicada.