Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo

HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day

Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de Microsoft Exchange Server (2013, 2016 y 2019); Exchange Online no se ve afectado por estas vulnerabilidades. En concreto, las vulnerabilidades explotadas fueron las siguientes: CVE-2021-26855 CVSS v3 9.1, CVE-2021-26857 / 26858 / 27065 CVSS v3 7.8. Los fallos fueron corregidos en el día de ayer por Microsoft, en una actualización de seguridad extraordinaria. En los ataques observados por Microsoft y la firma de seguridad de Volexity, el grupo HAFNIUM, que se cree podría estar apoyado por el estado chino, habría aprovechado estas vulnerabilidades para acceder a los servidores de Exchange, accediendo así a las cuentas de correo y permitiendo la instalación de malware para lograr persistencia. Tras explotar estas vulnerabilidades, los operadores de HAFNIUM habrían procedido con el despliegue de web shells en los servidores vulnerados para robar datos, cargar o descargar archivos y ejecutar comandos.

Toda la información: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Google corrige el segundo 0-day en Chrome este año

El pasado 2 de marzo, Google lanzó la versión 89.0.4389.72 de Chrome para Windows, Mac y Linux, que se irá implementando de manera progresiva en la base de usuarios durante los próximos días. Esta actualización incluye la corrección de 47 fallos de seguridad en total, uno de los cuales sería un 0-day de alto riesgo que afecta al ciclo de vida de los objetos en un audio. La vulnerabilidad fue reportada a mediados de febrero por el equipo de Microsoft y se le ha otorgado el identificador CVE-2021-21166. A pesar de que se ha indicado la existencia de un exploit para esta vulnerabilidad, por el momento, y como es habitual en Google, no han dado más detalles sobre su explotación a fin de garantizar la seguridad de la base de usuarios. El parcheado de esta nueva vulnerabilidad en Chrome, se produce después de que en febrero, Google corrigiese otro 0-day que podía ser aprovechado por los atacantes para ejecutar código arbitrario en sistemas que ejecutasen versiones previas de Chrome. Este tipo de vulnerabilidades han sido explotadas en distintos ataques como la campaña contra los investigadores de ciberseguridad de finales de enero.

Más detalles: https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop.html

Actualización sobre el compromiso en la cadena de suministro: nuevos artefactos

Microsoft ha descubierto nuevas familias de malware en los sistemas de las víctimas del compromiso de Solarwinds, y ha denominado al sofisticado grupo detrás del ataque como Nobelium. GoldMax, Sibot y GoldFinder son las tres nuevas variantes detectadas, que fueron usadas por Nobelium en la segunda fase de despliegue tras utilizar Teardrop para moverse lateralmente. Pese a haber sido observadas entre agosto y septiembre, se cree que fueron desplegadas en los sistemas comprometidos de los clientes de Solarwinds ya en junio de 2020. Desde Microsoft afirman que estas nuevas variantes fueron utilizadas para mantener la persistencia y realizar acciones muy específicas y dirigidas después del compromiso inicial, incluso evadiendo la detección durante la respuesta al incidente. Adicionalmente, desde FireEye también han publicado información sobre una nueva backdoor desplegada en la segunda fase de una organización comprometida por los atacantes de Solarwinds. Este nuevo malware se ha denominado Sunshuttle y estaría asociado también al grupo UNC2452 (Nobelium, SolarStorm, StellarPaarticle o Dark Halo). Pese a que Microsoft y FireEye no han relacionado estas familias, parece tratarse del mismo malware ya que comparten funcionalidades y el C2.

Para saber más: https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/

Supermicro y Pulse Secure lanzan actualizaciones frente a TrickBoot

Las compañías Supermicro y Pulse Secure han publicado sendos avisos para alertar de la existencia de una vulnerabilidad en sus placas base frente al módulo de infección de firmware UEFI del malware TrickBot, conocido como “TrickBoot”. Esta vulnerabilidad en el firmware fue descubierta el año pasado por Advanced Intelligence y Eclypsium. Un dispositivo es vulnerable cuando el firmware UEFI presenta la protección contra escritura desactivada o mal configurada, lo que otorga al malware capacidades de lectura, modificación e incluso borrado del propio firmware. Esto expondría al equipo a actividades maliciosas como el bloqueo del dispositivo, la elusión de los controles de seguridad del sistema operativo o reinfecciones del sistema, incluso después de una reinstalación completa. Este código malicioso implantado en el firmware (bootkits) es invisible para cualquier solución de seguridad que opere en el sistema operativo ya que se carga en la etapa inicial de la secuencia de arranque del dispositivo. Supermicro ha anunciado que sus placas base X10 UP son vulnerables a este ataque, y ha lanzado la actualización crítica de la BIOS 3.4 para activar la protección contra escritura. Por su parte Pulse Secure ha lanzado también una actualización de su BIOS para dispositivos que ejecuten Pulse Connect Secure o Pulse Policy Secure, por el mismo motivo.

Todos los detalles: https://www.bleepingcomputer.com/news/security/supermicro-pulse-secure-release-fixes-for-trickboot-attacks/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.