Boletín semanal de ciberseguridad 5-11 de junio

ElevenPaths    11 junio, 2021
Boletín semanal de ciberseguridad 5-11 de junio

​​​Boletín mensual de ​​Microsoft

Microsoft ha lanzado su boletín de seguridad correspondiente al mes de junio en el que se corrigen 50 vulnerabilidades, entre las que se incluyen fallos de ejecución remota de código (RCE), problemas de denegación de servicio, escalada de privilegios y problemas de corrupción de memoria. Cinco de las vulnerabilidades corregidas permitirían la ejecución remota de código: CVE-2021-33742 (0-day que estaba en explotación activa), CVE-2021-31963CVE-2021-31967CVE-2021-31959CVE-2021-31985

Asimismo, es destacable entre las actualizaciones de seguridad, que se incluyen parches para siete 0-days, seis de los cuales estaban siendo explotados de forma activa: 

  • CVE-2021-33742 (CVSS 7.5): vulnerabilidad de ejecución remota de código de la plataforma Windows MSHTML.
  • CVE-2021-33739 (CVSS 8.4): vulnerabilidad de elevación de privilegios de biblioteca principal DWM de Microsoft.
  • CVE-2021-31199 y CVE-2021-31201 (CVSS 5.2): vulnerabilidades de elevación de privilegios del proveedor criptográfico mejorado de Microsoft.
  • CVE-2021-31955 (CVSS 5.5): vulnerabilidad de divulgación de información del kernel de Windows.
  • CVE-2021-31956 (CVSS 7.8): vulnerabilidad de elevación de privilegios de Windows NTFS.
  • CVE-2021-31968 (CVSS 7.5): vulnerabilidad de denegación de servicio en Windows Remote Desktop Services. Se trata del único 0-day corregido para el que no se tienen evidencias de su explotación.

Información completa: https://msrc.microsoft.com/update-guide/en-us

Nueva campaña de PuzzleMaker utiliza una cadena de 0-days en Chrome y Windows 10

Investigadores de Kaspersky han descubierto un nuevo grupo denominado PuzzleMaker, que estaría utilizando una cadena de 0-days en Google Chrome y Windows 10 en ataques altamente dirigidos contra empresas de todo el mundo. La campaña estaría activa desde mediados de abril, cuando se comprometieron los sistemas de las primeras víctimas. La cadena de exploits de 0-days desplegada en esta actividad aprovecha una vulnerabilidad de ejecución remota de código en Google Chrome V8 Javascript para acceder al sistema. A continuación, los atacantes utilizaban un exploit de escalada de privilegios para comprometer las últimas versiones de Windows 10, aprovechando una vulnerabilidad en Windows kernel (CVE-2021-31955) y otro fallo de escalada de privilegios de Windows NTFS (CVE-2021-31956), ambos ya parcheados. Una vez utilizados los exploits de Chrome y Windows para conseguir un punto de acceso al sistema de la víctima, PuzzleMaker despliega y ejecuta cuatro módulos adicionales de malware desde un servidor remoto. En primer lugar, se despliega un stager para notificar que la explotación fue satisfactoria, así como para desplegar y ejecutar un dropper más complejo, que a su vez instala dos ejecutables, que simulan ser archivos legítimos del sistema operativo de Windows; el segundo de ellos es una Shell remota y puede ser considerada como el payload principal de estos ataques. No se han identificado similitudes entre el malware utilizado y otros ya conocidos.​

Más detalles: https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/

Boletín de Chrome – Nuevo 0-day activamente explotado

Google ha publicado su boletín mensual correspondiente al mes de junio en el que se han corregido varios fallos de seguridad en su navegador Chrome para Windows, Mac y Linux. Entre estos fallos se encuentra un nuevo 0-day de severidad alta, identificado como CVE-2021-30551 que, según indica la propia compañía, estaría siendo explotado de forma activa. Por su parte, el empleado de Google, Shane Huntley, ha publicado un tweet en el que confirma que este exploit estaría siendo utilizado por el mismo grupo al que se ha relacionado con el aprovechamiento del 0-day CVE-2021-33742 en el navegador Edge corregido por Microsoft esta semana. Este nuevo 0-day viene derivado de un error de confusión de tipos en su motor de código abierto V8 y permite a un atacante remoto, mediante una página web especialmente diseñada, engañar al usuario para que este acceda y lograr así explotar este fallo y ejecutar código arbitrario en el sistema de la víctima. Por otro lado, cabe destacar también del nuevo boletín, una vulnerabilidad crítica de tipo use-after-free en el sistema de optimización BFCache (CVE-2021-30544).

Toda la info: https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop.html

Nuevos grupos aprovechan vulnerabilidades antiguas de SonicWall VPN

El equipo de respuesta a incidentes de CrowdStrike ha identificado que operadores de ransomware estaría aprovechando una vulnerabilidad antigua en SonicWall VPN (CVE-2019-7481 CVSS 7.5) que afecta dispositivos Secure Remote Access SRA 4600 en diversos incidentes. La capacidad de aprovechar esta vulnerabilidad contra dispositivos SRA no había sido previamente reportada, y estaría afectando a las versiones anteriores a las 10.x, pese a que oficialmente se publicó que solo afectaba a versiones anteriores a la 9.0.0.3, puesto que en las últimas versiones del firmware Secure Mobile Access (SMA) ya no mitigan este CVE para los dispositivos SRA. Asimismo, en febrero de 2021, el PSIRT de SonicWall desglosó un nuevo 0-day (CVE-2021-20016 CVSS 9.8) que afectaba a sus dispositivos SMA 100 y que requería actualizaciones a versiones posteriores a la 10.x. Respecto a esta vulnerabilidad, SonicWall no mencionó si afectaba a los antiguos dispositivos SRA VPN que todavía estaban en entornos de producción, ya que se consideran fuera de su vida útil. Este análisis de CrowdStrike se ha centrado en la vulnerabilidad de 2019 ya que existen pruebas de concepto públicas de la misma y afirman no querer facilitar información que pudiera ser utilizada por atacantes, ya que la vulnerabilidad de 2021 no tiene PoCs públicas en estos momentos.

Para saber más: https://www.crowdstrike.com/blog/how-ecrime-groups-leverage-sonicwall-vulnerability-cve-2019-7481/

Siloscape: el primer malware dirigido a contenedores Windows

El investigador de PaloAlto Daniel Prizmant ha detallado la primera campaña de malware dirigida a contenedores Windows. En julio de 2020 se hizo pública una técnica para escapar contenedores de Windows en Kubernetes y acceder al cluster de éstos, aunque al principio Microsoft no la reconoció como una vulnerabilidad ya que argüían que los contenedores no deberían ser usados como una medida de seguridad, finalmente tuvieron que reconocer el fallo al permitir éste escapar de un contenedor al host sin contar con permisos de administrador (CVE-2021-24096). El nuevo malware denominado “Siloscape” pretende explotar Kubernetes a través de contenedores Windows, implantando una puerta trasera en clusters de Kubernetes mal configurados para así ejecutar contenedores maliciosos con funcionalidades de minado de criptomonedas o exfiltrar información de las aplicaciones ejecutándose en el cluster. Los vectores de ataque inicial en los contenedores han sido principalmente vulnerabilidades web como CVE-2020-14882, aplicaciones PHP vulnerables, inyecciones SQL, o servicios Redis vulnerables.

Más información: https://unit42.paloaltonetworks.com/siloscape/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *