Boletín semanal de ciberseguridad 23-29 octubre

Telefónica Tech    29 octubre, 2021

Google corrige dos 0-days en el navegador Chrome

Google ha lanzado una nueva actualización de Chrome (95.0.4638.69) para Windows, Mac y Linux, donde se corrigen 7 vulnerabilidades, siendo dos de ellas 0-days. En relación a estas dos últimas, por un lado, se encuentra la CVE-2021-38000 con un nivel de criticidad alto, descrita como una validación insuficiente de entrada no fiable en Intents; y, por otro lado, la CVE-2021-38003, también con un nivel de criticidad alto, descrita como una implementación inapropiada en V8. Desde Google afirman que ambas vulnerabilidades estarían siendo explotadas activamente, si bien, por el momento no han ofrecido más información al respecto, aunque es probable que los detalles de estas sean desglosados en futuros informes de Google TAG o Project Zero ya que han sido investigadores de estos proyectos quienes las han detectado.

Toda la información aquí: https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop_28.html

​​​​Nueva actividad del actor ruso Nobelium

El equipo de Threat Intelligence de Microsoft ha detectado nueva actividad asociada con el grupo de actores Nobelium, identificados por el gobierno de Estados Unidos como parte del servicio de inteligencia extranjero ruso (SRV) y a quienes se ha atribuido el ataque a la cadena de suministro de SolarWinds en 2020. En referencia a la actividad observada de esta nueva campaña, se llevaría realizando desde el pasado mes mayo y está centrada principalmente en Estados Unidos y Europa, siguiendo una estrategia similar a campañas anteriores, pero atacando una parte distinta de la cadena de suministro. En esta ocasión, Nobelium ha intentado acceder a clientes de múltiples proveedores de servicios Cloud (CSP), proveedores de servicios gestionados (MSP), así como otras organizaciones que ofrecen servicios IT a empresas. Cabe destacar que se ha observado al grupo de actores enlazar el acceso de cuatro proveedores distintos con el fin de comprometer un objetivo final, demostrando un gran abanico de técnicas y una complejidad de acciones que usa este actor amenaza para explotar relaciones de confianza entre empresas. Se estima que un total de 140 proveedores de cloud y servicios gestionados han sido atacados, y por lo menos 14 han sido comprometidos desde mayo de 2021.

Más detalles: https://blogs.microsoft.com/on-the-issues/2021/10/24/new-activity-from-russian-actor-nobelium/

Squirrelwaffle: nuevo malware distribuido en campañas de malspam

Investigadores de Cisco Talos Intelligence han alertado sobre una nueva familia de malware descubierta por primera vez en septiembre de 2021 denominada como Squirrelwaffle. Esta amenaza se propaga a través de campañas de malspam, donde en las más recientes, es utilizado para infectar sistemas con Qakbot y Cobalt Strike. Este malware, proporciona a los actores maliciosos un punto de apoyo inicial en los sistemas y sus entornos de red, con el objetivo de facilitar un mayor compromiso. La campaña, de manera similar a lo que se ha observado en amenazas como Emotet, aprovecha hilos de correo electrónico robados, y dirigen los mensajes de respuesta coincidiendo con el idioma utilizado en el hilo original, denotando cierta localización de forma dinámica. Sus correos maliciosos incluyen hipervínculos a archivos ZIP maliciosos alojados en servidores web, en donde se incluyen archivos .doc o .xls maliciosos que ejecutan código de recuperación de malware en el caso de abrirse. Asimismo, utilizan la plataforma DocuSign como cebo para que se habiliten los macros. Squirrelwaffle presenta una lista de bloqueo de IP de firmas de seguridad con el objetivo de intentar evadir la detección y el análisis. Finalmente, los investigadores informan que este malware se considera que puede ser un reinicio de Emotet, y se advierte que las campañas pueden aumentar con el tiempo tras aumentar el tamaño de su botnet.

Más información: https://blog.talosintelligence.com/2021/10/squirrelwaffle-emerges.html

Vulnerabilidades en cajeros Diebold Nixdorf

Investigadores de Positive Technologies han descubierto vulnerabilidades en los cajeros automáticos Wincor Cineo, propiedad de la compañía Diebold Nixdorf, que cuentan con los dispensadores RM3 y CMD-V5 2. En concreto, se han descubierto dos vulnerabilidades con una puntuación CVSSv3.0 de 6,8. La explotación de estos fallos de seguridad podrían permitir la retirada de efectivo al acceder al puerto USB del controlador del dispensador, en donde un actor malicioso podría instalar una versión de firmware obsoleta o modificada para evitar el cifrado y permitir que el cajero expida efectivo. La primera vulnerabilidad, CVE-2018-9099, se detectó en el firmware del dispensador CMD-V5 en todas sus versiones. En segundo lugar, CVE-2018-9100, se identificó en el firmware del dispensador RM3 / CRS también en todas sus versiones. El escenario de ataque consta de tres pasos: conectar un dispositivo a un cajero automático, cargar firmware obsoleto y vulnerable y aprovechar los fallos de seguridad para acceder a los casetes dentro de la caja fuerte. Los investigadores instan a las organizaciones de crédito, que para corregir las vulnerabilidades deben solicitar la última versión de firmware a los fabricantes de cajeros automáticos.

Descubre todos los detalles: https://www.ptsecurity.com/ww-en/about/news/positive-technologies-demonstrates-how-attackers-could-hack-diebold-nixdorf-atms/

​Vulnerabilidad 0-day en Windows

El investigador de seguridad Abdelhamid Naceri ha revelado detalles de una vulnerabilidad 0-day de elevación de privilegios que afectaría a todas las versiones de Windows, incluyendo Windows 10, Windows 11 y Windows Server 2022. Este investigador ya avisó a Microsoft del fallo, catalogado como CVE-2021-34484, y que supuestamente corrigieron en agosto. Sin embargo, tras examinar la corrección, Naceri descubrió que el parche no era suficiente y que era capaz de vulnerarlo con un nuevo exploit que ha publicado en GitHub. No obstante, el hecho de que el error requiera que el atacante conozca el nombre y la contraseña del usuario, posiblemente reduzca su uso en ataques generalizados con respecto a otras vulnerabilidades de elevación de privilegios.

Toda la info: https://halove23.blogspot.com/2021/10/windows-user-profile-service-0day.html

Deja una respuesta

Tu dirección de correo electrónico no será publicada.