Boletín semanal de Ciberseguridad, 15 – 21 de abril

Telefónica Tech    21 abril, 2023

Google corrige nuevas 0-day activamente explotadas

Durante los últimos días, Google ha emitido nuevos avisos de seguridad sobre la identificación de vulnerabilidades 0-day que afectan al navegador Chrome y que están siendo activamente explotadas.

La compañía informaba a sus usuarios sobre una vulnerabilidad 0-day, en concreto, el fallo de seguridad ha sido registrado como CVE-2023-2033, y se debe a un fallo en el motor de JavaScript Chrome V8 que podría permitir a un actor malicioso de forma remota explotar la vulnerabilidad a través de una página HTML especialmente diseñada.

También Google advertía sobre otro fallo, esta vez registrado como CVE-2023-2136, el cual se encuentra en la librería multiplataforma de gráficos 2D, Skia y, de ser explotada podría llevar a un renderizado incorrecto de los gráficos, corrupción de memoria o ejecución remota de código que termine en un acceso no autorizado al sistema.

Más info

Encontradas muestras de LockBit dirigidas contra sistemas macOS

MalwareHunterTeam ha encontrado una muestra de un archivo de LockBit que contiene la capacidad de infectar numerosos sistemas operativos, incluyendo por primera vez, macOS de Apple.

MalwareHunterTeam resalta que se trata de un hito remarcable pues también es la primera vez que se tiene conocimiento de uno de los grandes grupos de ransomware creando un malware dirigido específicamente a macOS.

El archivo encontrado incluye un cifrador llamado ‘locker_Apple_M1_64’, para los dispositivos de Apple más recientes y otro para PowerPC CPUs, usado por los macOS más antiguos.

Un análisis en profundidad del archivo muestra que, por el momento, se trata de una versión inicial de esta cepa de LockBit y que no podría usarse en un ataque real, pero muestra el interés de este ransomware en atacar dispositivos macOS en un futuro próximo.

Más info

Identificada nueva campaña de QBot

Investigadores de seguridad han publicado un análisis sobre las TTPs empleadas en una nueva campaña del ya conocido malware Qbot, el cuál ahora infectaría a sus víctimas mediante el uso de archivos PDF y Windows Script Files (WSF).

Esta campaña de phishing se distribuye mediante emails que emplean hilos de correo legítimos y contienen un archivo PDF adjunto que, cuando se abre, se descargará un archivo ZIP que contiene un archivo WSF.

Este archivo tiene como objetivo final ejecutar un script en PowerShell, con el que se trata de descargar una DLL de QBot. Cabe destacar que numerosos actores como BlackBasta, REvil, PwndLocker, Egregor, ProLock y MegaCortex han utilizado Qbot para el acceso inicial a las redes corporativas.

Este acceso inicial se realiza desplegando payloads adicionales como Cobalt Strike, Brute Ratel y otros malware que permiten a acceder al dispositivo vulnerado.

Más info

Nueva PoC permite realizar bypass en VM2 sandbox

Investigadores de seguridad han publicado una nueva PoC capaz de realizar bypass en VM2 sandbox, ampliamente utilizada en el mundo del desarrollo y la seguridad para ejecutar y probar código que no es de confianza en un entorno aislado.

Este bypass permitiría ejecutar malware fuera de las limitaciones del entorno sandbox. La primera vulnerabilidad fue identificada como CVE-2023-29017 hace dos semanas, y las dos últimas identificadas como CVE-2023-29199 y CVE-2023-30547.

Esta última vulnerabilidad, con un CVSS de 9.8, puede ser aprovechada por actores maliciosos debido a un fallo de sanitización que permite al atacante lanzar una excepción de host dentro de “handleException()”.

Se recomienda a los usuarios que para corregir la vulnerabilidad actualicen a la versión 3.9.17 lo antes posible para evitar un posible incidente de seguridad.

Más info

Vulnerabilidades críticas en las bases de datos PostgreSQL de Alibaba Cloud

Investigadores de seguridad de Wiz han publicado un artículo en el que revelan dos vulnerabilidades críticas en las bases de datos PostgreSQL de Alibaba Cloud.

Según los investigadores, estos fallos permitían el acceso no autorizado a las bases de datos PostgreSQL de los clientes de Alibaba Cloud, lo que podría derivar en un ataque a la cadena de suministro y en una ejecución remota de código.

Cabe destacar que, las vulnerabilidades que han recibido el nombre de BrokenSesame, se comunicaron a Alibaba Cloud en diciembre de 2022, quienes desplegaron mitigaciones el pasado 12 de abril, si bien, no hay evidencias de explotación.

En conclusión, se trataría de un fallo que permitiría la escalada de privilegios en AnalyticDB y otro de ejecución remota de código en ApsaraDB RDS.

Más info

Foto principal: Clark van der Beken / Unsplash