Boletín semanal de ciberseguridad 6-12 noviembreTelefónica Tech 12 noviembre, 2021 Boletín de seguridad de Microsoft Microsoft ha publicado su boletín de seguridad correspondiente al mes de noviembre en el que ha corregido un total de 55 fallos en su software, incluyendo seis vulnerabilidades 0-day, dos de las cuales se encuentran actualmente bajo explotación. La primera, categorizada como CVE-2021-42292 y con CVSS de 7.8, es un fallo de evasión de mecanismos de seguridad en Microsoft Excel. El segundo 0-day bajo explotación (CVE-2021-42321 y CVSS de 8.8) es una vulnerabilidad de ejecución remota de código en el servidor de Microsoft Exchange. Las cuatro vulnerabilidades 0-day restantes, de las cuales no se han aportado detalles por el momento, son fallos de divulgación de información en Windows Remote Desktop Protocol (CVE-2021-38631 y CVE-2021-41371) y vulnerabilidades de ejecución remota de código en 3D Viewer (CVE-2021-43208 y CVE-2021-43209). Todos los detalles: https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov Campaña contra una vulnerabilidad reciente en Zoho Investigadores de Unit42 de Palo Alto han publicado una investigación sobre una campaña que estaría aprovechando la vulnerabilidad CVE-2021-40539 (CVSS 9.8) en la solución ManageEngine ADSelfService Plus de Zoho. Se trataría de la segunda campaña detectada contra el mismo fallo, ya que el pasado 16 de septiembre la CISA emitió un comunicado donde confirmaba que estaba siendo activamente explotada por una APT. Los intentos de explotación en esta segunda campaña, sin relación con la expuesta por la CISA, comenzaron el 22 de septiembre y no finalizaron hasta principios de octubre, siendo en ese periodo de tiempo cuando el agente amenaza vulneró al menos nueve entidades de diversos sectores. En la cadena de infección los investigadores observaron que, tras obtener acceso a la red de la víctima, se instalaba o bien la webshell Godzilla o el backdoor NGLite, ambos empleados para moverse lateralmente. Al mismo tiempo que conseguían moverse por la infraestructura, exfiltraban información de los servidores hasta que llegaban al DC, donde instalaban la herramienta empleada para el robo de credenciales KdcSponge. Cabe destacar que mientras Palo Alto relaciona esta campaña el grupo APT27 (TG-3390), de origen chino, el equipo de Threat Intelligence de Microsoft, que también ha seguido la explotación de la misma vulnerabilidad, ha atribuido la campaña al actor de procedencia china DEV-0322, relacionado con el incidente el SolarWinds. Descubre más: https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/ Acceso no autorizado a Aruba Central HPE ha informado acerca de un incidente de seguridad que habría derivado en el acceso de un tercero no autorizado a información en el entorno Cloud de Aruba Central. El actor, aun no identificado, habría accedido mediante el uso de una clave de acceso robada, la cual le permitió ver los datos almacenados de usuarios. En concreto, se habrían visto afectados un repositorio que contenía datos de telemetría de red de los clientes, y otro con datos sobre la ubicación de los dispositivos WiFi, viéndose afectados datos como la dirección MAC, dirección IP, tipo de sistema operativo, nombre del host, y nombre de usuario en redes WiFi donde es necesaria la autenticación. De acuerdo con la información proporcionada por la compañía, el atacante habría accedido el 9 de octubre por primera vez, logrando establecerse hasta el 27 de octubre, cuando la clave fue cambiada. Esto implicó a su vez que los datos a los que tuvo acceso databan como fecha máxima de antigüedad el 10 de septiembre, ya que son eliminados de los repositorios cada 30 días. Desde HPE habrían confirmado que no se vio afectada información sensible y/o confidencial, no siendo necesaria ninguna acción por parte de los clientes. Toda la info: https://www.arubanetworks.com/support-services/security-bulletins/central-incident-faq/ Múltiples vulnerabilidades en el controlador gráfico de AMD para Windows 10 Investigadores privados de seguridad en colaboración con CyberArk Labs y Apple Media Products RedTeam han reportado una larga lista de vulnerabilidades en el controlador gráfico de AMD para Windows 10. En concreto, 18 de los errores detectados han sido calificados con una gravedad alta ya que, a raíz de un conjunto de fallos en varias APIs, podrían producirse escenarios de escalada de privilegios, denegación de servicio, divulgación de información e incluso ejecución de código arbitrario en la memoria del kernel. Por su parte, AMD ya ha abordado todas las vulnerabilidades y ha publicado un aviso donde reflejan todos los CVEs asignados, así como la información necesaria para aplicar las actualizaciones tanto de AMD Radeon Software como de AMD Radeon Pro Software for Enterprise. Adicionalmente, AMD también ha corregido errores recientemente en su producto AMD EPYC server processor y problemas de rendimiento de sus procesadores compatibles con las nuevas versiones de Windows 11 lanzadas por Microsoft. Más info: https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1000 Boletín semanal de ciberseguridad 30 octubre-5 noviembreJuega al primer Trivial especializado en ciberseguridad y cloud
Telefónica Tech ¿Es hora de empezar a plantar semillas digitales para el futuro? Preparar las operaciones empresariales para el futuro del trabajo es uno de los problemas que definen nuestra época. Las organizaciones de todo el mundo se encuentran ahora en una...
José Vicente Catalán Tú te vas de vacaciones, pero tu ciberseguridad no: 5 consejos para protegerte este verano Las vacaciones son una necesidad, está claro. Todo el mundo necesita relajarse, pasar tiempo de calidad con la familia y amigos, desconectar. Pero, irónicamente, para desconectar acabamos conectando (el...
Álvaro Alegria Meunier Principales retos para la adopción del metaverso En un post anterior dedicado al metaverso explicaba en qué consiste el metaverso y veíamos qué oportunidades iba a ofrecer a las empresas. Hoy quiero compartir otros retos que, en...
Telefónica Tech Boletín semanal de ciberseguridad, 25 de junio — 1 de julio Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida...
Paloma Recuero de los Santos ¿Cómo hablar a los niños sobre la Inteligencia Artificial? Desde la conocida como “generación de los constructores”, los nacidos entre 1925 y 1944, a los pequeños “alfa”, los hijos de los “millenials”, la tecnología ha ido ganando terreno...
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.