Boletín semanal de Ciberseguridad, 10 – 16 de diciembre

Microsoft corrige en su Patch Tuesday de diciembre dos vulnerabilidades 0-day y otros 49 fallos

Entre las vulnerabilidades corregidas, dos de ellas son 0-day, uno de ellos activamente explotado e identificado como CVE-2022-44698 y CVSS 5.4, que hace referencia a una vulnerabilidad de omisión de la característica de seguridad de Windows SmartScreen.

Un atacante podría explotar esta vulnerabilidad creando un archivo malicioso que evada la seguridad de Mark Of The Web (MOTW), lo que resultaría en la pérdida de funciones de seguridad como el de la vista protegida en Microsoft Office. Los actores amenaza explotaron esta vulnerabilidad a través de archivos JavaScript maliciosos en numerosas campañas de distribución de malware.

El otro 0-day, identificado como CVE-2022-44710 y CVSS 7.8, permitiría la escalada de privilegios del kernel de gráficos DirectX. El resto de los fallos corregidos permitirían la divulgación de información, denegación de servicio y suplantación de identidad.

Finalmente, Microsoft ha incluido en su actualización, 29 mejoras y correcciones entre las que solucionan problemas en el Administrador de tareas, Microsoft OneDrive o Windows Spotlight.

Más info →

* * *

Citrix corrige una vulnerabilidad 0-day activamente explotada

Citrix ha emitido una alerta de seguridad avisando a los administradores de una vulnerabilidad 0-day crítica en Citrix ADC y Gateway que estaría siendo activamente explotada.

Esta vulnerabilidad, identificada como CVE-2022-27518 y aún pendiente de puntuación CVSS, permitiría a un atacante ejecutar código de manera remota sin necesidad de autenticarse. Las versiones afectadas de Citrix ADC y Citrix Gateway serían las anteriores a la 13.0-58.32 y se corregiría actualizando a la versión actual 13.0-88.16 o 13.1.

Si bien la compañía no ha ofrecido detalles al respecto, en su nota de seguridad hace referencia a un pequeño número de ataques dirigidos aprovechando esta vulnerabilidad. La Agencia Nacional de Seguridad de Estados Unidos ha emitido por su parte un advisory indicando que se trataría de ataques atribuidos al grupo conocido como APT5, UNC2630 o MANGANESE e incluye técnicas de detección y mitigación de estos.

Más info ⇾

* * *

Solucionado un nuevo 0-day de Apple que estaba siendo explotado activamente

Apple ha publicado su boletín de seguridad mensual en el que corrige una amplia gama de vulnerabilidades que afectan a iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 y macOS Ventura 13.1, y entre las que destaca el décimo 0-day del año que afecta a dispositivos iPhone, el cual podría estar siendo activamente explotado.

En concreto, este fallo de seguridad identificado como CVE-2022-42856 se trata de un problema en el motor de navegación del Webkit de Apple, lo que podría permitir a actores amenaza crear un sitio web malicioso especialmente diseñado para poder realizar una ejecución de código arbitrario en un dispositivo vulnerable.

Cabe indicar que dicha vulnerabilidad fue descubierta por el investigador de seguridad Clément Lecigne, perteneciente al equipo de análisis de amenazas de Google, y si bien por el momento no se dispone de más detalles sobre esta cuestión, se estima que pasado un tiempo prudencial desde la publicación de los parches sea publicada más información sobre esta vulnerabilidad una vez que los usuarios actualicen sus dispositivos.

Más info ⇾

* * *

Ransomware Royal pasa a ser una amenaza potencial

Investigadores de Cybereason Global SOC y Cybereason Security Research Teams han publicado un análisis acerca del grupo de ransomware Royal, donde describen sus tácticas, técnicas y procedimientos (TTP).

Detectado a comienzos del presente año, no fue hasta el mes de septiembre cuando comenzó a utilizar su propioransomware, generando que se haya convertido en el ransomware más activo actualmente, llegando a superar a Lockbit.

Los vectores de entrada de Royal son diversos, siendo uno de ellos mediante campañas de phishing, utilizando asimismo loaders como Qbot o BATLOADER, que posteriormente implementan un payload de Cobalt Strike con el fin de continuar la operación de infección.

Además, se sabe que el ransomware emplea múltiples subprocesos para acelerar el cifrado, y que utiliza cifrado parcial, haciendo que su detección sea más difícil. Los investigadores estiman que Royal estaría formado por ex miembros de otros grupos de ransomware, señalando específicamente a Conti.

Asimismo, desde Cybereason indican que el ransomware Royal es una amenaza altamente potencial, debido a que sus víctimas no son de un sector específico y se reparten a lo largo de todo el mundo.

Más i n fo ⇾

* * *

Las cookies de Atlassian permiten el acceso no autorizado incluso con el doble factor activado

Recientemente la compañía de seguridad CloudSek fue víctima de un ciberataque y en la investigación interna que ha desarrollado ha descubierto la existencia de una vulnerabilidad en los productos de Atlassian.

CloudSek identificó que el actor amenaza accedió a la cuenta de Jira de un empleado suyo mediante el uso de una cookie de sesión sustraída con un stealer y vendida en la darkweb, lo que propició que la investigación revelara que las cookies de los productos de Atlassian (Jira, Confluence, Trello y BitBicket) siguen siendo válidas durante 30 días incluso aunque se haya cambiado la contraseña del usuario o el doble factor de autenticación esté activado.

Atlassian aún no ha parcheado la vulnerabilidad, por lo que Cloudsek advierte del amplio impacto que podría tener dado que afecta a más de 10 millones de usuarios de las 180.000 empresas que han contratado productos de Atlassian.

Más info ⇾

Un repaso a las XVI Jornadas STIC: 5 tendencias de Ciberseguridad destacadas para 2023Ciberseguridad en sistemas industriales OT: una necesidad que tiene sus diferencias