Boletín semanal de ciberseguridad 4-10 septiembre

Telefónica Tech    10 septiembre, 2021
Boletín 4-10 septiembre

Vulnerabilidad crítica en ADSelfService Plus de Zoho

La compañía Zoho ha hecho público un aviso de seguridad advirtiendo de la detección de una vulnerabilidad crítica en ADSelfService Plus, software corporativo para la gestión de contraseñas e inicios de sesión. En concreto, la vulnerabilidad consiste en una omisión de autenticación que afecta a las URL de la API REST en ADSelfService Plus, lo que permitiría a un actor amenaza la ejecución remota de código (RCE). La vulnerabilidad ha sido identificada con el CVE-2021-40539 aunque por el momento carece de calificación según CVSSv3. No obstante, diversas fuentes la definen como crítica. Además, tanto la propia organización Zoho como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) han confirmado que existen evidencias de la explotación activa en la red de este fallo, por lo que se recomienda aplicar en cuanto sea posible las actualizaciones ya lanzadas por Zoho que solucionan el problema en todas las versiones de ADSelfService Plus anteriores a la 6114.

Más detalles: https://www.manageengine.com/products/self-service-password/kb/how-to-fix-authentication-bypass-vulnerability-in-REST-API.html

Nuevo 0-day en Windows activamente explotado

Microsoft ha publicado un aviso de seguridad donde desvela los detalles de una nueva vulnerabilidad de ejecución remota de código en Microsoft MSHTML, la funcionalidad que se encarga del «renderizado» o construcción de documentos web en el navegador ya obsoleto Internet Explorer (IE) pero también en los productos Office. Este fallo, catalogado como CVE-2021-40444 con un nivel de criticidad CVSSv3 8.8, estaría siendo aprovechado por actores amenaza en ataques dirigidos mediante el envío de un documento especialmente diseñado que requiere de la interacción del usuario. Por el momento, no existen parches para solventarlo, pero sí medidas mitigatorias mediante la desactivación de nuevos controles ActiveX en IE. Cabe señalar asimismo que según indica Microsoft, el ataque queda desestimado si se mantiene la configuración por defecto de Office donde se incluye la «vista protegida».

Por su parte, investigadores de seguridad afirman haber localizado documentos maliciosos de Word utilizados en ataques, obteniendo más información sobre su explotación y confirmando que su criticidad es mayor a la inicialmente pensada. También han comprobado que la vista protegida que por defecto Office aplica a los archivos descargados de internet (MotW) no está habilitada si, por ejemplo, el documento malicioso está incluido en un archivo zip o iso, o bien se trata de un documento RTF. Por el momento, no está claro si el próximo martes 14 de septiembre habrá algún parche oficial por parte de Microsoft que solucione esta vulnerabilidad, por lo que se recomienda encarecidamente aplicar las medidas de mitigación descritas y no abrir archivos adjuntos que no sean de una fuente fiable.

Para saber más: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

0-day en Ghostscript permite comprometer servidores

El investigador de seguridad vietnamita, Nguyen The Duc, publicó el pasado domingo una prueba de concepto (PoC) para una vulnerabilidad 0-Day de Ghostscript sin parchear. Este exploit, publicado en Github, y para el que ya se ha confirmado su funcionamiento, supone un riesgo para todos los servidores que utilizan este componente. Ghostscript es una pequeña librería que permite a las aplicaciones procesar documentos PDF y archivos basados en PostScript. Aunque su uso es más habitual en software de escritorio, también se suele utilizar en servidores, donde se incluye junto con herramientas de conversión de imágenes y procesamiento de carga de archivos, como ImageMagick. La prueba de concepto publicada aprovecharía este segundo escenario, permitiendo a posibles atacantes cargar un archivo SVG alterado que evita el procesamiento de imagen y ejecuta código malicioso en el sistema. Cabe destacar que este 0-day fue descubierto el año pasado por el investigador Emil Lerner, sin embargo, no fue de dominio público hasta el mes pasado, cuando se presentó en una conferencia de seguridad.

Información completa: https://therecord.media/ghostscript-zero-day-allows-full-server-compromises/

Explotación de ProxyShell para desplegar el ransomware Conti

Una nueva investigación por parte de Sophos ha desvelado que los operadores del ransomware Conti habrían añadido a su arsenal el aprovechamiento de las recientes vulnerabilidades en Microsoft Exchange que conforman la cadena de explotación conocida como ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Pese a que la técnica ya fue utilizada como vector de acceso por el ransomware LockFile hace apenas unas semanas, en las incursiones que despliegan Conti se observa una mejora en las técnicas que permiten el compromiso completo de la red en apenas cinco días. Tan solo un minuto después de lograrse la explotación de ProxyShell los atacantes ya disponen de una webshell remota, en cuatro horas han obtenido las credenciales de administrador de dominio y en 48 horas ya han exfiltrado 1TB de información confidencial. En total, a lo largo de una incursión, se observó la instalación de hasta siete puertas traseras (web shells, Cobalt Strike y herramientas comerciales como Altera o Splashtop) para mantener el acceso al entorno comprometido.

Para saber más: https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *