Boletín semanal ciberseguridad 5 – 11 de febreroTelefónica Tech 11 febrero, 2022 Microsoft deshabilita macros y MSIX para evitar la distribución de malware Microsoft se ha movilizado activamente contra los múltiples ataques de malware que utilizan algunas de sus tecnologías como vector de entrada. En concreto, los productos afectados son el paquete Office y los instaladores de la aplicación MSIX que permite a desarrolladores distribuir aplicaciones para diferentes plataformas. En el caso de Office, la compañía va a deshabilitar las macros de Visual Basic para aplicaciones (VBA) de forma predeterminada en todos sus productos, incluidos Word, Excel, PowerPoint, Access y Visio, para documentos descargados de la web, si bien se podrán habilitar de forma voluntaria por parte del usuario. Según la propia publicación de Microsoft, habilitar las macros en un archivo de Office permite a los actores amenaza entregar cargas maliciosas, implementar malware, comprometer cuentas, exfiltrar información e incluso obtener acceso remoto a los sistemas objetivo. Esta medida llega apenas un mes después de que el fabricante de Windows deshabilitara por defecto las macros de Excel 4.0 (XLM), otra función de la que se abusa mucho para distribuir malware. Referente a los instaladores de la aplicación MSIX, Microsoft ha anunciado que deshabilitará temporalmente el controlador de protocolo MSIX ms-appinstaller en Windows tras tener evidencias de la explotación activa de la vulnerabilidad CVE-2021-43890, la cual permite la instalación de aplicaciones no autorizadas y se estaría utilizando para entregar malware como Emotet, TrickBot y Bazaloader. Este movimiento significa que, hasta que Microsoft no solucione el error por completo, App Installer no podrá instalar una aplicación directamente desde un servidor web, por lo que los usuarios primero deberán descargar la aplicación en su dispositivo y luego instalar el paquete con el instalador de la aplicación. Más información: https://docs.microsoft.com/es-es/DeployOffice/security/internet-macros-blocked Posible exfiltración de información por vulnerabilidad en Argo CD Investigadores de Apiiro han dado a conocer una vulnerabilidad en Argo CD, herramienta ampliamente utilizada para el despliegue de aplicaciones en Kubernetes, que podría ser explotada por atacantes con el fin de obtener información sensible de diferentes organizaciones, especialmente contraseñas y API Keys. La vulnerabilidad ha sido catalogada con el identificador CVE-2022-24348 – 7.7 CVSSv3, y consiste en un fallo de cruce de directorios (Path-Traversal) que podría conducir a la elevación de privilegios, revelación de información y ataques de movimiento lateral. Su explotación se consigue mediante la carga de un archivo YAML especialmente diseñado para Kubernetes Helm Chart en el sistema objetivo, siempre y cuando se tenga permiso para crear y actualizar aplicaciones y se conozca la ruta entera de un archivo que contenga un YAML válido. Por su parte Argo CD publicó su versión 2.3.0-rc4 el pasado viernes, apenas 5 días después de que los investigadores de Apiiro les alertaran de la existencia del fallo. Todos los detalles: https://apiiro.com/blog/malicious-kubernetes-helm-charts-can-be-used-to-steal-sensitive-information-from-argo-cd-deployments/ Vulnerabilidades críticas en productos SAP El SAP ha publicado su boletín de seguridad de febrero donde emite 22 actualizaciones importantes, entre las que incluyen soluciones para el impacto producido por Log4j, además de tres vulnerabilidades críticas de corrupción de memoria que afectan a Internet Communication Manager (ICM), un componente central de las aplicaciones comerciales de SAP. Estos tres últimos fallos fueron descubiertos por equipo de respuesta de seguridad de productos de SAP, en colaboración con los laboratorios de investigación de Onapsis, quienes las han denominado como ICMAD» (Internet Communication Manager Advanced Desync). La vulnerabilidad más crítica ya se encuentra parcheada en la nota de seguridad de SAP 3123396 , identificada con el CVE-2022-22536 y con un CVSSv3 de 10.0, permitiría a un atacante no autenticado anteponer la solicitud de una víctima con datos arbitrarios y, por lo tanto, ejecutar funciones haciéndose pasar por la víctima. Los dos errores restantes también han sido parcheados por SAP en su nota de seguridad 3123427 y corresponden al CVE-2022-22532 y CVE-2022-22533 con CVSSv3 de 8.0 y 7.5 respectivamente. Ambas también serían explotables por un atacante remoto no autenticado, si bien solo afectan a las aplicaciones de SAP que se ejecutan en SAP NetWeaver AS Java. Cabe destacar que la explotación exitosa de estas vulnerabilidades podría producir impactos severos como: el robo de información confidencial, ransomware y la interrupción de los procesos de negocio y operaciones. SAP recomienda aplicar a la mayor brevedad las actualizaciones de seguridad de febrero de 2022 de SAP , así como hacer uso de la herramienta de código abierto suministrada por Onapsis que identifica si un sistema es vulnerable y necesita parches. Descubre más: https://onapsis.com/blog/sap-security-patch-day-february-2022-severe-http-smuggling-vulnerabilities-sap-netweaver Actualizaciones de seguridad de Microsoft Microsoft ha corregido una vulnerabilidad en el antivirus Microsoft Defender en Windows, que permitía a los atacantes distribuir y ejecutar payloads pasando desapercibidos al motor de detección de malware. El fallo se debe a una configuración poco estricta de una clave de registro que contiene la lista de ubicaciones excluidas del análisis de Microsoft Defender que era visible para todos los usuarios. Tras la remediación esto es visible únicamente para usuarios con privilegios de administrador. Este error de seguridad afectaba a las últimas versiones de Windows 10, y habría sido corregido con las últimas actualizaciones de seguridad de Microsoft de febrero. Asimismo, cabe destacar que Microsoft está procediendo a la eliminación de la herramienta de comandos Windows Management Instrumentation (WMIC), wmic.exe, en el portal de desarrollo de las últimas versiones de Windows 11, a favor de Powershell. La eliminación únicamente afectaría a la herramienta de comandos, por lo que WMI no se ve afectado. WMI ha sido ampliamente aprovechada por actores maliciosos, llegando a considerarse un LOLBin (living-off-the-land binaries). Al eliminar la utilidad WMIC, múltiples ataques y malware dejarán de funcionar correctamente, ya que no podrán ejecutar algunos comandos necesarios para llevar a cabo sus operaciones, aunque es posible que los atacantes sustituyan WMIC por nuevos métodos. Toda la info: https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-defender-flaw-letting-hackers-bypass-antivirus-scans/ Cibercriminales aprovechan la utilidad Regsvr32 de Windows para distribuir malware Investigadores de Investigadores de Uptycs han analizado una nueva campaña en la que actores maliciosos estarían incrementando el abuso de un LOLBin de Windows conocido como Regsvr32 para propagar malware. Los LOLBins son utilidades legítimas y nativas utilizadas habitualmente en entornos informáticos que los ciberdelincuentes aprovechan para evadir la detección mezclándose con los patrones de tráfico normales. En este caso, Regsvr32 es una utilidad firmada por Microsoft en Windows que permite a los usuarios gestionar librerías de código y registrar archivos DLL añadiendo información al directorio central (registro) para que pueda ser utilizado por Windows y compartido entre programas. Según Uptycs, se estaría abusando de esta utilidad a través de una técnica conocida como Squiblydoo, donde Regsvr32 se utiliza para ejecutar DLLs mediante scriptlets COM que no realizan ningún cambio en el registro. La investigación añade que el uso malicioso de esta utilidad se ha visto incrementado últimamente, principalmente en el registro de archivos .OCX alojados en diversos documentos maliciosos de Microsoft Office. Desde Uptycs han analizado hasta 500 muestras de malware que se estarían distribuyendo, algunas de ellas pertenecientes a Qbot y Lokibot. Más detalles: https://www.uptycs.com/blog/attackers-increasingly-adopting-regsvr32-utility-execution-via-office-documents Telefónica Tech, miembro del Campus Cyber en ParisBoletín semanal ciberseguridad 12-18 de febrero
Aarón Jornet Evolución de las técnicas de Spear-Phishing de los grupos criminales más conocidos y qué malware utilizan En los últimos años se han ido metabolizando diferentes campañas y amenazas cuyo vector de entrada ha sido el mismo, el correo electrónico. Este acceso inicial, que siempre parece...
Mercedes Núñez España, pionera en la UE en implantar el reconocimiento de voz con inteligencia artificial entre jueces y magistrados Ayer un compañero escribía del reconocimiento de voz con inteligencia artificial como una tecnología consolidada, que permite convertir el dictado en texto escrito. Es decir, “escribir a viva voz”. Todos...
Open Future Estas son las 8 profesiones del futuro El gran desarrollo tecnológico de los últimos años ha modificado el escenario laboral, haciendo que las empresas requieran de personas con nuevas competencias y habilidades, sobre todo en el...
Carlos Rebato Qué es Edge Computing, explicado de manera sencilla El Edge Computing es una de las tecnologías que definirá y revolucionará la manera en la que humanos y dispositivos se conectan a internet. Afectará a industrias y sectores...
Telefónica Tech Boletín semanal ciberseguridad 19 – 25 de marzo Vulnerabilidad de elevación de privilegios en Western Digital El investigador independiente de seguridad, Xavier Danest, ha reportado una vulnerabilidad de escalada de privilegios en EdgeRover. Cabe resaltar que EdgeRover es...
Blanca Montoya Gago El papel de los PERTE en la sociedad del futuro Los proyectos estratégicos para la recuperación y transformación económica (PERTE) son una nueva figura dentro del Plan de Recuperación, Transformación y Resiliencia. Se definen como iniciativas que suponen un...
