Boletín semanal de ciberseguridad 12-18 de junio

Telefónica Tech    18 junio, 2021

Vulnerabilidad zero-day en Chrome, la séptima en lo que va de año 

Ayer, 17 de junio, Google presentaba la versión 91.0.4472.114 de Chrome para Windows, Mac y Linux, solventando una vulnerabilidad de tipo zero-day catalogada como CVE-2021-30554. La explotación de este fallo, podría suponer la ejecución de código arbitrario en sistemas que presenten versiones no seguras de Chrome. Por su parte, Google no ha divulgado más información sobre el problema de seguridad a la espera de que la mayor parte de los usuarios actualicen su navegador. De acuerdo con los investigadores de Kaspersky, este tipo de vulnerabilidades de zero-day han sido últimamente explotadas por el agente amenaza PuzzleMaker con la finalidad de excederse del marco del navegador e instalar así malware en sistemas Windows.  Adicionalmente, la actualización ha abordado otras tres vulnerabilidades graves del navegador, que afectaban a los componentes de Chrome Sharing, WebAudio y TabGroups, y que se han identificado como CVE-2021-30555CVE-2021-30556 y CVE-2021-30557

https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html

Vulnerabilidades 0-day en Apple

Apple ha emitido actualizaciones de seguridad para abordar dos vulnerabilidades 0-day que afectan a su sistema operativo móvil iOS 12. Los fallos corregidos, catalogados como CVE-2021-30761 y CVE-2021-30762, se deben a problemas en el motor del navegador WebKit y podrían permitir a un atacante ejecutar código arbitrario a la hora de procesar un contenido web malicioso especialmente diseñado. Desde la firma se advierte que estas vulnerabilidades estarían siendo activamente explotadas. Por otro lado, en esta actualización de seguridad también se ha abordado un problema de corrupción de memoria en el decodificador ASN.1, catalogado como CVE-2021-30737, que permitiría la ejecución remota de código. Los dispositivos afectados por estos fallos son iPhone 5s, el iPhone 6, el iPhone 6 Plus, el iPad Air, el iPad mini 2, el iPad mini 3 y el iPod touch (6ª generación), todos ellos parcheados con la versión 12.5.4 de iOS.

https://support.apple.com/en-us/HT212548

Microsoft detiene una operación BEC de alto impacto

El equipo de investigación de Microsoft 365 Defender en conjunto con el Centro de Inteligencia de amenazas de Microsoft (MSTIC) han descubierto e interrumpido la infraestructura de una operación BEC a gran escala. En su análisis, exponen que los actores maliciosos estaban abusando de diversos servicios web alojados en la nube para comprometer buzones de correo electrónico y añadir reglas de reenvío utilizando diferentes IPs, y añadiendo latencia de tiempo entre acciones para no ser detectados por los sistemas de seguridad. Para conseguir el acceso inicial al host de la víctima habrían hecho uso de credenciales exfiltradas conseguidas mediante técnicas de ingeniería social, enviando correos de phishing donde adjuntarían un HTML que contendría un JavaScript, para simular ser un inicio de sesión de Microsoft. Una vez comprometidas las credenciales del usuario, accederían a su buzón y añadían reglas de reenvío con parámetros como “factura”, “pago” o “declaración”, lo que les permitía acceder a información financiera, además de tener un canal de exfiltración de información persistente. Asimismo, habrían creado reglas para eliminar los correos que eran reenviados a su infraestructura, añadiendo complejidad en la detección de sus operaciones.

https://www.microsoft.com/security/blog/2021/06/14/behind-the-scenes-of-business-email-compromise-using-cross-domain-threat-data-to-disrupt-a-large-bec-infrastructure/

Nueva técnica de evasión de malware

Investigadores de seguridad de Elastic han hecho pública una nueva técnica de manipulación de imágenes ejecutables, apodada «Process Ghosting«, la cual podría ser usada por atacantes para evadir protecciones y ejecutar código malicioso de manera sigilosa en Windows. Con esta nueva técnica, un agente amenaza podría insertar un componente de malware en el disco del equipo víctima de manera que se dificulte su detección. Dicha evasión se aprovecha del lapso desde la creación de un proceso hasta que los sistemas de seguridad del dispositivo son notificados de su creación, dando a los atacantes un margen para eludir la detección. El flujo del ataque Process Ghosting comenzaría por crear un archivo, cambiar el estado del mismo a «delete-pending«, pendiente de borrado, evitando así el acceso y lectura de este, posteriormente, asignaría una imagen para el archivo en el disco tras insertar el código malicioso para, finalmente, borrarlo. El siguiente paso sería crear un proceso con las variables de entorno pertinentes, a los que llamará un hilo para su ejecución. Cabe destacar que el éxito de este ataque viene dado por el hecho de que las llamadas de los sistemas de seguridad, como el antivirus, se efectúan cuando se crea el hilo, que intentarán leer un fichero ya borrado y, de esta forma, se da por eludida la seguridad.

https://www.elastic.co/es/blog/process-ghosting-a-new-executable-image-tampering-attack

Ataque a la cadena de suministro de un proveedor de CCTV

El equipo de Mandiant de FireEye ha publicado una investigación acerca de un nuevo ataque a la cadena de suministro. Los atacantes de este incidente, que han sido identificados como UNC2465, un grupo afiliado al ransomware DarkSide, habrían vulnerado un sitio web legítimo de un proveedor de cámaras de circuito cerrado de televisión (CCTV), y habrían implantado un troyano dentro de un instalador PVR de cámara de seguridad que los usuarios descargaban para configurar y controlar sus dispositivos de seguridad. Con la instalación del software malicioso también se iniciaba la descarga del troyano Smokedham o Beacon, entre otros. Los investigadores no detectaron la presencia del ransomware Darkside en las redes de las víctimas debido, principalmente, a que esta intrusión tuvo lugar entre el 18 de mayo y principios del mes de junio, y para ese momento, Darkside ya había anunciado el cierre de su actividad tras el ataque a Colonial Pipeline.

https://www.fireeye.com/blog/threat-research/2021/06/darkside-affiliate-supply-chain-software-compromise.html

Vulnerabilidad crítica en la cadena de suministro de ThroughTek

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha emitido un aviso en relación a un fallo crítico en la cadena de suministro de software que afecta al kit de desarrollo de software (SDK) de ThroughTek. La explotación exitosa de esta vulnerabilidad podría permitir el acceso no autorizado a información sensible, como los flujos de audio/vídeo de las cámaras de seguridad. El fallo, catalogado como CVE-2021-32934 y con una puntuación CVSS de 9,1, afecta a los productos P2P de ThroughTek con versiones 3.1.5 y anteriores, así como a las versiones con la etiqueta nossl y diversas configuraciones de firmware.

https://us-cert.cisa.gov/ics/advisories/icsa-21-166-01

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *