Boletín semanal de ciberseguridad 22-28 de mayo

Vulnerabilidad en el stack del protocolo HTTP de Windows también afecta a WinRM

Investigadores de seguridad han descubierto que la vulnerabilidad que afectaba al servidor web Windows IIS (CVE-2021-31166, CVSS 9.8), que residía en el stack del protocolo HTTP -http.sys- encargado de procesar peticiones, también puede ser aprovechada para atacar sistemas que exponen el servicio WinRM (Windows Remote Management), permitiendo a atacantes no autenticados ejecutar código arbitrario. Esta vulnerabilidad únicamente afecta a las versiones 2004 y 20H2 de Windows 10 y Windows Server. Cabe destacar que mientras este servicio viene desactivado en las versiones de Windows 10, está activado por defecto en las versiones de Windows Server. A pesar de que no existe públicamente una prueba de concepto para ejecutar código arbitrario haciendo uso de esta vulnerabilidad, investigadores han publicado una prueba para realizar ataques de denegación de servicio con el envío de un único paquete.

Para saber más: https://www.bleepingcomputer.com/news/security/wormable-windows-http-vulnerability-also-affects-winrm-servers/

Vulnerabilidad zero-day en Apple

Apple ha publicado un boletín de seguridad donde corrige múltiples fallos de seguridad, entre ellos uno de tipo zero-day, que afectan a su sistema operativo de escritorio macOS. Entre las vulnerabilidades abordadas, destaca la zero-day, descubierta por la firma de seguridad Jamf y catalogada como CVE-2021-30713, que hace referencia a un fallo de bypass en el framework de TCC de macOS y que estaría siendo explotada desde hace al menos un año por el grupo que opera el malware XCSSET. Para la distribución de la muestra, los operadores de XCSSET ocultarían el código malicioso en proyectos Xcode de Github, simulando ser scripts legítimos de Apple para conseguir eludir el control de transparencia y control (TCC) de macOS. Asimismo, cabe destacar otra vulnerabilidad corregida, descubierta por el equipo de investigadores de ZecOps e identificada como CVE-2021-30741, cuyo impacto afecta a sistemas iOS permitiendo el procesamiento de código malicioso. Desde Apple se recomienda la actualización de los sistemas afectados a las últimas versiones para solucionar los problemas de seguridad.

Toda la información: https://support.apple.com/en-us/HT201222

Actualización: nueva campaña de espionaje basada en la explotación de vulnerabilidades en Pulse Secure

El pasado 20 de abril investigadores de FireEye publicaban el descubrimiento y análisis de una campaña de espionaje a través de la explotación de vulnerabilidades en dispositivos Pulse Secure VPN, llevada a cabo por presuntos actores amenaza de origen chino. Actualmente, un mes más tarde, los investigadores han seguido recopilando información de sus hallazgos. El equipo de ingeniería inversa de Flare ha identificado 4 nuevas familias de malware relacionadas con UNC2630, diseñadas específicamente para manipular dispositivos Pulse Secure, denominadas BLOODMINE, BLOODBANK, CLEANPULSE y RAPIDPULSE. Asimismo, la CISA ha actualizado su alerta para incluir nuevas TTPs de los actores amenaza, IoCs y medidas de mitigación actualizadas. Por su parte, el equipo de respuesta a incidentes de seguridad de Ivanti ha publicado una nueva herramienta para mejorar la integridad del software Pulse Connect Secure.

Más detalles: https://www.fireeye.com/blog/threat-research/2021/05/updates-on-chinese-apt-compromising-pulse-secure-vpn-devices.html

Campaña de malvertising con el software AnyDesk

El equipo de Falcon Complete de CrowdStrike ha publicado el análisis de una campaña de malvertising que usa como señuelo el software de escritorio remoto AnyDesk. Los operadores de la campaña habrían hecho uso de la plataforma de publicidad de Google para suplantar la página web legítima de AnyDesk, apareciendo en las búsquedas antes que los anuncios del propio software legítimo. A través de la página suplantada los usuarios se descargarían el instalador de AnyDesk, el cual ha sido previamente troyanizado incluyendo funcionalidades maliciosas. Los investigadores sugieren que alrededor del 40% de los clicks en estos anuncios maliciosos de Google resultaron en instalaciones del binario troyanizado de AnyDesk, mientras que en el 20% de las instalaciones los actores amenaza realizaron comunicaciones directas con los equipos de las víctimas para asignar tareas o ejecutar comandos.

Info completa: https://www.crowdstrike.com/blog/falcon-complete-disrupts-malvertising-campaign-targeting-anydesk/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.