Boletín semanal de ciberseguridad, 9 — 16 de septiembre

Telefónica Tech    16 septiembre, 2022
Foto: Kelly Sikkema / Unsplash

Microsoft corrige dos 0-day y otras 63 vulnerabilidades en su Patch Tuesday

Microsoft ha corregido, en su Patch Tuesday correspondiente al mes de septiembre, 63 vulnerabilidades entre las que se encuentran dos 0-day, uno de ellos activamente explotado y 5 fallos críticos que permitirían la ejecución remota de código.

El 0-day activamente explotado, identificado como CVE-2022-37969 y CVSS 7.8, fue descubierto por investigadores de DBAPPSecurity, Mandiant, CrowdStrike y Zscaler y afecta al sistema de archivos de registro común (CLFS), permitiendo que un atacante pueda obtener privilegios de sistema.

Por otro lado, el segundo 0-day que no ha sido explotado, se ha catalogado como CVE-2022-23960 y con CVSS 5.6, y hace referencia a una vulnerabilidad de restricción de especulación en la caché.

En cuanto a las vulnerabilidades críticas, 2 se encuentran en Microsoft Dynamics CRM (CVE-2022-35805 y CVE-2022-34700), otras 2 en IKE (CVE-2022-34722 y CVE-2022-34721) y, por último, un fallo en Windows TCP/IP (CVE-2022-34718), todos ellos permitirían la ejecución remota de código.

Más info

* * *

Análisis del keylogger OriginLogger

El investigador Jeff White, de la Unit 42 de Palo Alto, ha publicado los resultados de su reciente análisis sobre el keylogger OriginLogger, considerado heredero de Agent Tesla.

Utilizado para el robo de credenciales, capturas de pantalla y todo tipo de información del dispositivo, se encuentra a la venta en sitios especializados en la difusión de malware.

Su cadena de infección se inicia a través de diferentes tipos de droppers, si bien normalmente se trata de un documento de Microsoft Office con macros maliciosas, que redirigen a una página de la que se descarga un archivo con un script ofuscado, utilizado para descargar un payload que servirá para crear persistencia y programar diferentes tareas.

El payload contendrá además código PowerShell y dos binarios cifrados, uno de los cuales es un loader y el otro el payload real de OriginLogger.

Otra de las características que hacen a OriginLogger una versión separada de Agent Tesla es la variedad de métodos de exfiltración de información, usando protocolos y servidores SMTP y FTP, páginas web con paneles propios o canales y bots de Telegram.

Más info

* * *

Lampion malware distribuido en nueva campaña de phishing

Investigadores de Cofense han analizado una campaña de phishing distribuida por email, en la que el adjunto contiene un script que descarga y ejecuta el malware Lampion.

Dicho malware, descubierto en 2019, corresponde con un troyano bancario que busca robar la información del dispositivo infectado, conecta con su servidor command-and-control (C2) y es capaz de superponer una página encima de los formularios de login bancarios para hacerse con la información del usuario.

Sobre la campaña, se distribuye mediante el envío a través de cuentas corporativas sustraídas de distintos correos fraudulentos, que adjuntan pruebas de pago maliciosas alojadas en WeTransfer y urgen a que sean descargadas.

Una vez que el receptor del email fraudulento se descarga el documento malicioso y lo abre, se ejecutan varios scripts VBS y la cadena de ataque comienza.

Cabe destacar que, Lampion se centra principalmente en objetivos de habla hispana, abusando de los servicios en la nube para alojar el malware, incluyendo Google Drive y pCloud.

Más info

* * *

Boletines de seguridad de SAP

SAP ha publicado 16 notas de seguridad en su Security Patch Day de septiembre, en las que corrige 55 vulnerabilidades de Chromium y otras de alta prioridad.

En primer lugar, SAP emite actualizaciones de seguridad para el navegador Google Chromium que afecta a varias versiones de SAP Business Client.

Por otro lado, entre las vulnerabilidades de alta prioridad corregidas, se encuentra una vulnerabilidad XSS que afecta a SAP Knowledge Warehouse, identificada como CVE-2021-42063 y con CVSS 8.8.

Asimismo, entre las más críticas se encuentra CVE-2022-35292, con CVSS de 7.8, que afecta a la ruta del servicio en SAP Business One y que permitiría la escalada de privilegios a SYSTEM.

La segunda nota de prioridad corresponde al servicio SAP BusinessObjects, afectado con dos vulnerabilidades, una de ellas, con CVE-2022-39014 y CVSS 7.7, haría posible que un atacante lograra acceder a información confidencial sin cifrar; mientras que, la otra vulnerabilidad designada con CVE-2022-28214 y CVSS 7.8, corrige ante la posibilidad de la divulgación de información en el servicio.

Finalmente, se publica una actualización relacionada con la vulnerabilidad, CVE-2022-35291 y CVSS 8.1, que afecta a SuccessFactors, mediante la cual se reanuda la funcionalidad de archivos adjuntos.

Más info →  

* * *

Análisis sobre las actividades de Webworm​

El equipo de investigación de amenazas de Symantec ha publicado en el día de ayer un post en el que se detallan las actividades del grupo denominado Webworm, cuyas TTPs y artefactos en uso serían los mismos que los del actor amenaza conocido como Space Pirates, lo que lleva a los investigadores a creer que podrían ser el mismo grupo.

Según la investigación, el grupo llevaría activo desde 2017 y se habría dedicado a lanzar ataques y campañas de espionaje contra agencias gubernamentales y compañías de los sectores IT, aeroespacial y energético, especialmente en países asiáticos.

Entre sus recursos habituales, se encuentran versiones modificadas de los troyanos de acceso remoto Trochilus, Gh0st RAT y 9002 RAT, usados como puerta trasera y difundidos mediante loaders ocultos en documentos falsos.

Por último, cabe destacar que los RAT utilizados por Webworm siguen siendo difíciles de detectar por las herramientas de seguridad, debido a que sus trucos de evasión, ofuscación y antianálisis siguen siendo notables.

Más info

Deja una respuesta

Tu dirección de correo electrónico no será publicada.