Boletín semanal de ciberseguridad 31 de julio-13 agosto

Telefónica Tech    13 agosto, 2021
Boletín cyber 13 agosto

Vulnerabilidades en servicios DNS-as-a-Service

Los investigadores Shir Tamari y Ami Luttwak, de la firma de seguridad Wiz, desvelaban en el congreso de seguridad Black Hat múltiples vulnerabilidades que podrían afectar a servicios DNS-as-a-Service (DNSaaS). En concreto, afirmaban que una de ellas habría sido probada y explotada con éxito al menos en tres proveedores de la nube como AWS, Route53 y Google Cloud Plataform.

Asimismo, señalaban que todos los proveedores de DNSaaS podrían ser vulnerables. Este fallo se debe a que la mayoría de los proveedores de DNS no incluyen en blacklist sus propios servidores DNS dentro de sus backends. Los investigadores confirmaban que, de aprovecharse, un actor amenaza podría exfiltrar información sensible de las redes corporativas como direcciones IP internas y externas, tickets NTLM o de Kerberos, pudiendo llegar incluso a mapear la compañía. Wiz expone que pudieron recopilar información de más de 15.000 organizaciones en 14 horas, exponiendo que el riesgo es elevado. Por su parte, Amazon y Google han emitido actualizaciones que resolverían este fallo, afirmando este segundo al medio The Record Media que no habrían encontrado actividad maliciosa relacionada.

Más información: https://www.blackhat.com/us-21/briefings/schedule/#a-new-class-of-dns-vulnerabilities-affecting-many-dns-as-service-platforms-23563

Campañas maliciosas empleando Prometheus TDS para distribuir malware

Investigadores de Group IB han publicado el análisis de dos campañas maliciosas que utilizan el servicio clandestino Prometheus Traffic Direction System (TDS) para la distribución de diferentes familias de malware como BazarLoader, IcedID, QBot, SocGholish, Hancitor y Buer Loader. La Cyber Kill Chain empleada en una infección donde se ha utilizado el servicio de Prometheus TDS es multifase.

En primer lugar, la víctima recibe un correo electrónico malicioso donde podrían adjuntarse tres elementos diferentes: un archivo HTML, un enlace a una webshell o un documento de Google Docs; todos ellos acabarían redireccionando a la víctima a sitios web maliciosos controlados por Prometheus.

Tras acceder a la URL maliciosa, se inicia la segunda fase, que tiene como objetivo la descarga de Prometheus Backdoor, herramienta encargada de recolectar datos del usuario como la IP, el User Agent o referer, entre otros. Una vez recopilados los datos, estos son enviados al panel administrado por Prometheus TDS, y, tras ser analizados, o bien se redirige a la víctima a una URL nueva o se le envía un archivo malicioso de Word, Excel, ZIP o RAR que descargará alguna de las familias de malware mencionadas.

Según afirman los investigadores, habrían localizado dos campañas activas diferentes, una dirigida contra la población belga y otra contra empresas, universidades y organizaciones gubernamentales de Estados Unidos.

Más información: https://blog.group-ib.com/prometheus-tds

Ataques de fuerza bruta de la botnet StealthWorker contra dispositivos de Synology

El equipo de respuesta de incidentes de Synology ha detectado un incremento en el volumen de ataque de fuerza bruta contra sus dispositivos. Los investigadores consideran que los ataques tendrían su origen en la botnet conocida como StealthWorker, identificada por Malwarebytes en una campaña de fuerza bruta en febrero de 2019. En estos ataques se emplean diversos dispositivos ya infectados para lanzar ataques de fuerza bruta en los que se prueban las credenciales de administración más comunes en otros dispositivos. En caso de éxito, el agente amenaza lograría acceso al sistema para instalar malware que podría incluir capacidades de cifrado (ransomware).

Asimismo, según los datos recopilados, los sistemas afectados podrían ser a su vez utilizados en ataques a otros dispositivos basados en Linux, incluyendo los NAS (Network-Attached-Storage) de Synology. La firma recomienda encarecidamente a sus clientes que revisen sus sistemas para modificar credenciales débiles, activar el bloqueo automático y la protección de cuenta, así como contar, en caso de ser posible, con un sistema de autenticación MFA (Multi-Factor Authentication).

​Más información: https://blog.cyble.com/2021/08/08/one-million-credit-cards-leaked-in-a-cybercrime-forum-for-free/

Boletín mensual de Microsoft

Microsoft ha publicado su boletín de seguridad de agosto donde incluye correcciones para 44 vulnerabilidades, siete de ellas críticas. Dentro del conjunto de vulnerabilidades la firma ha corregido tres nuevos 0-days, uno de los cuales estaría siendo ya activamente explotado:

  • CVE-2021-36948: Vulnerabilidad de elevación de privilegios en el sistema Windows Update Medic, para la que se ha detectado explotación activa.
  • CVE-2021-36942: Vulnerabilidad de suplantación de identidad en Windows LSA.
  • CVE-2021-36936: Vulnerabilidad de ejecución remota de código en Windows Print Spooler.

Además, es relevante mencionar que Microsoft ha corregido importantes vulnerabilidades aparecidas durante las últimas semanas, entre las que destacan:

  • PrintNightmare CVE-2021-34527: Si bien ya fue parcheada la parte de ejecución de código remoto, no fue así el componente de elevación local de privilegios CVE-2021-34481, que podía aprovecharse mediante la función Point and Print para instalar controladores de impresión maliciosos.
  • PetitPotam CVE-2021-36942: Se ha corregido el vector que permitía explotar el fallo de seguridad al no poder obligar a un controlador de dominio autenticarse contra otro servidor.

Finalmente, también cabe destacar la actualización de una vulnerabilidad CVE-2020-0765 en Remote Desktop Connection Manager (RDCMan), una aplicación cuyo uso se desaconsejaba desde Microsoft en marzo de 2020 pero que volvía a la vida este mes de junio con el lanzamiento de la versión 2.8. En el boletín de agosto, Microsoft anuncia una nueva vulnerabilidad en la aplicación y recomienda actualizar a la versión 2.82.

Más información: https://msrc.microsoft.com/update-guide/releaseNote/2021-Aug

LockBit anuncia la filtración de datos de Accenture

El grupo de Ransomware-as-a-Service Lockbit anunciaba esta semana a través de su portal de la dark web, la publicación de una serie de datos relacionados con la compañía Accenture, que podrían haber sido sustraídos durante un ataque de ransomware del grupo. Según un informe de Cyberscoop, la multinacional habría conseguido detectar el incidente el pasado 30 de julio y fruto de ello se habrían aislado los servidores vulnerados, mitigado la amenaza y restaurado los sistemas afectados mediante copias de seguridad. Esto implicaría que, actualmente, el nivel de riesgo de posible infección es prácticamente inexistente para los sistemas que cuentan con una comunicación directa con las redes de Accenture.

Asimismo, la firma reconoce que los atacantes habrían tenido acceso a documentos que harían referencia a un número reducido de clientes y materiales de trabajo que la firma habría preparado para sus clientes, pero que en ningún caso se trata de documentos con un nivel de confidencialidad muy elevado. Atendiendo a las filtraciones de los operadores de LockBit, el grupo publicaba el miércoles una primera filtración que borraba al poco tiempo para inmediatamente postponer la fecha y hora de publicación de nueva información. Un día más tarde aportaban evidencias de la vulneración de los sistemas de Accenture y de nuevo reiniciaban la cuenta atrás de su portal, anunciándose una tercera fecha para el 13 de agosto a las 22:43h (hora española). 

​Más información: https://www.cyberscoop.com/accenture-ransomware-lockbit/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *