Boletín semanal de ciberseguridad 6-12 noviembre

Telefónica Tech    12 noviembre, 2021
Boletín ciberseguridad 5-12 noviembre

Boletín de seguridad de Microsoft

Microsoft ha publicado su boletín de seguridad correspondiente al mes de noviembre en el que ha corregido un total de 55 fallos en su software, incluyendo seis vulnerabilidades 0-day, dos de las cuales se encuentran actualmente bajo explotación. La primera, categorizada como CVE-2021-42292 y con CVSS de 7.8, es un fallo de evasión de mecanismos de seguridad en Microsoft Excel. El segundo 0-day bajo explotación (CVE-2021-42321 y CVSS de 8.8) es una vulnerabilidad de ejecución remota de código en el servidor de Microsoft Exchange. Las cuatro vulnerabilidades 0-day restantes, de las cuales no se han aportado detalles por el momento, son fallos de divulgación de información en Windows Remote Desktop Protocol (CVE-2021-38631 y CVE-2021-41371) y vulnerabilidades de ejecución remota de código en 3D Viewer (CVE-2021-43208 y CVE-2021-43209).

Todos los detalles: https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov

Campaña contra una vulnerabilidad reciente en Zoho

Investigadores de Unit42 de Palo Alto han publicado una investigación sobre una campaña que estaría aprovechando la vulnerabilidad CVE-2021-40539 (CVSS 9.8) en la solución ManageEngine ADSelfService Plus de Zoho. Se trataría de la segunda campaña detectada contra el mismo fallo, ya que el pasado 16 de septiembre la CISA emitió un comunicado donde confirmaba que estaba siendo activamente explotada por una APT. Los intentos de explotación en esta segunda campaña, sin relación con la expuesta por la CISA, comenzaron el 22 de septiembre y no finalizaron hasta principios de octubre, siendo en ese periodo de tiempo cuando el agente amenaza vulneró al menos nueve entidades de diversos sectores. En la cadena de infección los investigadores observaron que, tras obtener acceso a la red de la víctima, se instalaba o bien la webshell Godzilla o el backdoor NGLite, ambos empleados para moverse lateralmente. Al mismo tiempo que conseguían moverse por la infraestructura, exfiltraban información de los servidores hasta que llegaban al DC, donde instalaban la herramienta empleada para el robo de credenciales KdcSponge. Cabe destacar que mientras Palo  Alto relaciona esta campaña el grupo APT27 (TG-3390), de origen chino, el equipo de Threat Intelligence de Microsoft, que también ha seguido la explotación de la misma vulnerabilidad, ha atribuido la campaña al actor de procedencia china DEV-0322, relacionado con el incidente el SolarWinds.

Descubre más: https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/

​Acceso no autorizado a Aruba Central

HPE ha informado acerca de un incidente de seguridad que habría derivado en el acceso de un tercero no autorizado a información en el entorno Cloud de Aruba Central. El actor, aun no identificado, habría accedido mediante el uso de una clave de acceso robada, la cual le permitió ver los datos almacenados de usuarios. En concreto, se habrían visto afectados un repositorio que contenía datos de telemetría de red de los clientes, y otro con datos sobre la ubicación de los dispositivos WiFi, viéndose afectados datos como la dirección MAC, dirección IP, tipo de sistema operativo, nombre del host, y nombre de usuario en redes WiFi donde es necesaria la autenticación. De acuerdo con la información proporcionada por la compañía, el atacante habría accedido el 9 de octubre por primera vez, logrando establecerse hasta el 27 de octubre, cuando la clave fue cambiada. Esto implicó a su vez que los datos a los que tuvo acceso databan como fecha máxima de antigüedad el 10 de septiembre, ya que son eliminados de los repositorios cada 30 días. Desde HPE habrían confirmado que no se vio afectada información sensible y/o confidencial, no siendo necesaria ninguna acción por parte de los clientes.

Toda la info: https://www.arubanetworks.com/support-services/security-bulletins/central-incident-faq/

Múltiples vulnerabilidades en el controlador gráfico de AMD para Windows 10

Investigadores privados de seguridad en colaboración con CyberArk Labs y Apple Media Products RedTeam han reportado una larga lista de vulnerabilidades en el controlador gráfico de AMD para Windows 10. En concreto, 18 de los errores detectados han sido calificados con una gravedad alta ya que, a raíz de un conjunto de fallos en varias APIs, podrían producirse escenarios de escalada de privilegios, denegación de servicio, divulgación de información e incluso ejecución de código arbitrario en la memoria del kernel. Por su parte, AMD ya ha abordado todas las vulnerabilidades y ha publicado un aviso donde reflejan todos los CVEs asignados, así como la información necesaria para aplicar las actualizaciones tanto de AMD Radeon Software como de AMD Radeon Pro Software for Enterprise. Adicionalmente, AMD también ha corregido errores recientemente en su producto AMD EPYC server processor y problemas de rendimiento de sus procesadores compatibles con las nuevas versiones de Windows 11 lanzadas por Microsoft.

Más info: https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1000

Deja una respuesta

Tu dirección de correo electrónico no será publicada.