Boletín semanal ciberseguridad 29 de enero – 4 de febrero

Publicados exploits que permiten elevación de privilegios en Windows

Investigadores de seguridad han hecho públicos varios exploits que aprovechan una vulnerabilidad conocida de elevación de privilegios que afecta a todas las versiones de Windows 10. En concreto, los exploits se basan en la vulnerabilidad CVE-2022-21882 – 7.0 CVSSv3 que, en combinación con un bypass al CVE-2021-1732 – 7.8 CVSSv3 (ambos ya parcheados por Microsoft), podría permitir a un actor amenaza elevar fácilmente sus privilegios para propagarse lateralmente dentro de la red, crear nuevos usuarios o ejecutar comandos con privilegios altos. Según Microsoft, la vulnerabilidad fue descubierta por un investigador privado que compartió un análisis técnico sobre la misma poco después de haberse publicado las actualizaciones oficiales para Windows. Asimismo, varias investigaciones ya han confirmado la total funcionalidad de los exploits publicados. Cabe destacar, que las ultimas correcciones de enero de Microsoft provocaron múltiples errores severos en servicios clave de los sistemas que posteriormente se corrigieron con parches lanzados de forma extraordinaria (OOB), motivo que puede haber llevado a los administradores de sistemas a esperar a las próximas correcciones de febrero, por lo que se estima que a día de hoy, es posible que existan muchos dispositivos vulnerables a estos nuevos exploits.

Más detalles: https://www.bleepingcomputer.com/news/microsoft/windows-vulnerability-with-new-public-exploits-lets-you-become-admin/

Fallo crítico en Samba

Samba ha publicado actualizaciones de seguridad para solucionar tres vulnerabilidades que, si se explotan con éxito, podrían permitir a los atacantes remotos ejecutar código arbitrario con los más altos privilegios en las instalaciones afectadas. Entre los fallos de seguridad destaca el siguiente catalogado como CVE-2021-44142 con un CVSSv3 9.9, que fue reportado por Orange Tsai de DEVCORE y afecta a todas las versiones de Samba anteriores a la 4.13.17. Concretamente, se trata de una vulnerabilidad de lectura/escritura fuera de límites en el módulo VFS «vfs_fruit» que proporciona compatibilidad con los clientes SMB de Apple. Cabe destacar que para explotar esta vulnerabilidad es necesario acceso de escritura a los atributos extendidos de un archivo en una carpeta de red de Samba. Según el Centro de Coordinación CERT (CERT/CC), la lista de plataformas afectadas por esta vulnerabilidad incluye Red Hat, SUSE Linux y Ubuntu. Los administradores pueden solucionar el fallo instalando las versiones 4.13.17, 4.14.12 y 4.15.5 o aplicando los parches de seguridad publicados por el fabricante. Asimismo, Samba también ha proporcionado unas medidas de mitigación para los administradores que no puedan instalar de inmediato las últimas versiones, estas consisten en eliminar las líneas “fruit” de “vfs objects” en los archivos de configuración de Samba. Por último, indicar que las otras dos vulnerabilidades han sido catalogadas con menor criticidad (CVE-2021-44141 CVSSv3 4.2 y CVE-2022-0336 CVSSv3 3.1).

Toda la información: https://www.samba.org/samba/history/security.html

Campaña dirigida contra altos ejecutivos a través de aplicaciones OAuth maliciosas

Investigadores de Proofpoint han analizado una nueva campaña a la que han denominado OiVaVoii, debido al uso de aplicaciones maliciosas OAuth, y que se encuentra activa desde enero de 2022. Esta campaña utiliza tenants de Office 365 comprometidos y una sofisticada combinación de señuelos como aplicaciones OAuth maliciosas y spear phishing. A través de estas técnicas los actores maliciosos consiguen tomar el control de cuentas corporativas, lo que aumenta el riesgo de que estas actividades deriven en fugas de información, movimientos laterales, abuso de marca, campañas de phishing continuadas o distribución de malware. Los objetivos de esta campaña serían ejecutivos de alto nivel, incluyendo CEOs, Directores Generales y miembros del Consejo de administración. Por parte de Microsoft han bloqueado cuatro de las aplicaciones fraudulentas utilizadas, aunque se han creado nuevas, por lo que desde Proofpoint señalan que estas actividades continúan en curso. Las empresas potencialmente impactadas deben revocar los permisos, eliminar las aplicaciones, suprimir cualquier regla de buzón maliciosa añadida por los actores maliciosos y revisar cualquier archivo descargado.

Más info: https://www.proofpoint.com/us/blog/cloud-security/oivavoii-active-malicious-hybrid-cloud-threats-campaign

​​​“UPnProxy”: miles de routers vulnerables a ataques vía UPnP

Investigadores de Akamai han detectado una campaña maliciosa denominada “Eternal Silence” que abusa del protocolo UPnP (Universal Plug and Play) con el fin de utilizar miles de routers a modo de proxy, ocultando así la ubicación real de los actores maliciosos. UPnP se encuentra presente prácticamente en la mayoría de los routers actuales permitiendo el reenvío de puertos de forma automática para el acceso a diferentes servicios y/o software, lo que facilita a un posible atacante agregar entradas de reenvío de puertos UPnP a través de la conexión WAN expuesta de un dispositivo. Concretamente, los analistas apuntan a que los ataques intentan exponer los puertos TCP 139 y 445 en los dispositivos conectados al router objetivo para, posteriormente, explotar vulnerabilidades ya conocidas como EternalBlue (CVE-2017-0144) y EternalRed (CVE-2017-7494) en sistemas Windows y Linux sin parchear, respectivamente. Esta técnica de ataque ha sido denominada por Akamai como “UPnProxy” y, según su investigación, de los más de 3 millones de routers UPnP escaneados en línea, 277.000 serían vulnerables a UPnProxy y más de 45.000 ya habrían sido infectados. Adicionalmente, Akamai subraya que estas técnicas son casi imperceptibles para las víctimas, por lo que recomienda auditar las entradas de la tabla NAT y, en caso de detectar un compromiso, reiniciar o actualizar el firmware del dispositivo.

Conoce todos los detalles: https://www.akamai.com/content/dam/site/en/documents/research-paper/upnproxy-blackhat-proxies-via-nat-injections-white-paper.pdf

Vulnerabilidad 0-day en Zimbra

Investigadores de Volexity han descubierto una vulnerabilidad 0-day en la plataforma colaborativa de correo electrónico Zimbra que estaría siendo explotada activamente en la red contra organizaciones gubernamentales y medios de comunicación en Europa. Según el reporte publicado, la campaña de explotación habría comenzado el pasado mes de diciembre con el envío de correos de phishing con enlaces maliciosos bajo los señuelos de solicitudes de entrevistas o invitaciones a subastas benéficas. Al hacer clic en el enlace malicioso, la infraestructura de los atacantes redirige a la víctima a una página alojada en el host de correo web Zimbra de la organización objetivo, con un formato de URI específico que, si el usuario ha iniciado sesión, explota una vulnerabilidad del tipo XSS (cross-site scripting) permitiendo la ejecución de código JavaScript arbitrario en el contexto de la sesión Zimbra iniciada, así como filtrar cookies para conseguir acceso persistente al buzón, reenviar phishing a otros usuarios o descargar malware desde sitios web confiables. Volexity atribuye esta campaña de explotación a un actor amenaza llamado “TEMP_Heretic”, desconocido hasta la fecha y cuyo origen podría ser chino. Adicionalmente la investigación confirma que las versiones más recientes de Zimbra (8.8.15 P29 y P30) son vulnerables, si bien las pruebas realizadas en la versión 9.0.0 indican que es probable que no esté afectada, por lo que se recomienza actualizar a la misma si es posible.

Toda la información:https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/