Boletín semanal de Ciberseguridad, 18 – 25 de noviembre

Telefónica Tech    25 noviembre, 2022

Publicado exploit para vulnerabilidades ProxyNotShell

A finales del pasado mes de septiembre se produjeron las primeras publicaciones acerca de nuevas vulnerabilidades críticas en Microsoft Exchange Server, CVE-2022-41040 y CVE-2022-41082, que recibieron el nombre de ProxyNotShell.

No obstante, no fue hasta el martes de parchesde este mes de noviembre cuando Microsoft publicó parches para estos fallos de seguridad, pese a que la compañía había confirmado que tenía constancia de que actores maliciosos habrían aprovechado activamente estas vulnerabilidades el 30 de septiembre, mediante ataques dirigidos limitados.

La semana pasada el investigador de seguridad Janggggg publicó un exploit para estas vulnerabilidades, el cual sería funcional en las versiones de Exchange Server 2016 y 2019, e incluso contra 2013 con algunas modificaciones, de acuerdo con las confirmaciones realizadas por el investigador de seguridad Will Dormann.

Microsoft recomienda a sus usuarios aplicar los parches a la mayor brevedad posible para prevenir posibles futuros ataques contra dichas vulnerabilidades.

Más info

Atlassian corrige vulnerabilidades en Crowd y Bitbucket

El equipo de Atlassian ha publicado una nueva actualización en sus plataformas de gestión de identidad Crowd Server y Data Center, así como en Bitbucket Server y Data Center. Esta actualización se produce para corregir dos vulnerabilidades consideradas graves por la propia compañía y que afectaban a varias versiones de los software mencionados.

En concreto se trata de las vulnerabilidades CVE-2022-43781 y CVE-2022-43782. En el primer caso, se trata de una vulnerabilidad de inyección de comandos en Bitbucket que permite al atacante controlar la sesión para lograr la ejecución de código bajo determinadas condiciones y permisos.

En el caso de Crowd el fallo permite a un atacante eludir la comprobación de contraseñas durante el proceso de autenticación de Crowd y conseguir privilegios para realizar llamadas API a los endpoint.

En lo que se refiere a Bitbucket todas las versiones de la 7.0 a la 7.21 están afectados, así como las versiones de la 8.0 a la 8.4, salvo que sean instancias que ejecutan PostgreSQL o estén alojadas en dominio de Bitbucket. En el caso de Crowd las versiones afectadas van de la 3.0.0 a la 3.7.2 (las cuales no serán corregidas) y de 5.0.0 a la 5.0.2.

Más info →  

Fallo de protecciones anti-malware en Cisco Secure Email Gateway

Esta semana el equipo de Cisco ha confirmado la existencia de un fallo en los filtros de sus aplicaciones Secure Email Gateway e IronPort Email Security Appliance Software en sus versiones 14.2.0, tal y como había sido reportado por un investigador anónimo a principios de la semana pasada después de que, presuntamente, no hubiera recibido respuesta por parte de la compañía.

El descubrimiento de este investigador consistía en varios métodos de ataque que pueden utilizarse para evadir determinados filtros dentro de Secure Email Gateway para enviar malware a través de correos electrónicos especialmente diseñados para ello.

Esto se realizaría mediante tres vectores de ataque distintos que se aprovechan de un error de identificación de correos y adjuntos, si estos incluyen encabezados Content-Type de tipo MIME maliciosos. El ataque sería relativamente fácil de llevar a cabo y, según el investigador anónimo, ya se habrían observado exploits que se aprovechan del fallo.

Sin embargo la compañía ha negado que se trate de una vulnerabilidad en sus productos, y achaca el fallo a un problema en los motores de escaneo anti-malware de Sophos y McAfee.

Más info →  

Análisis de actividad del grupo Quantum Locker

La compañía belga Computerland ha compartido información sobre las Tácticas, Técnicas y Procedimientos del actor malicioso Quantum Locker. En concreto, dichos datos vienen como consecuencia del análisis realizado por dicha organización durante los últimos ataques perpetrados por Quantum Locker contra empresas geolocalizadas en Europa central.

Entre ellos, los investigadores destacan que entre los objetivos de este actor se encuentra la adquisición completa de servicios en la nube de Azure a través del compromiso de la cuenta raíz (T1531).

Asimismo, el actor se centra también en ubicar y eliminar todos los almacenamientos de blobs de Azure de la víctima para eliminar copias de seguridad (T1485). Por otra parte, Computerland advierte que los objetivos principales de sus ataques son administradores de IT y personal de redes, de forma que puedan conseguir acceso a sus recursos para recopilar credenciales de la red de la víctima y extender su ataque (T1530).

En último lugar, cabe destacar que Quantum combina técnicas nuevas y antiguas para distribuir ransomware, como la modificación de las políticas de grupo de dominio (T1484.001) y el aprovechamiento de la herramienta Any Desk como herramienta de acceso remoto (T1219).

Más info →  

​Detectada campaña de phishing usando Google Translate para ocultar enlaces maliciosos​

Investigadores de Kaspersky han identificado una campaña de phishing que emplea enlaces de Google Translate para difundir páginas de phishing.

Los enlaces son enviados por correo electrónico con diferentes pretextos y terminan apuntando a las páginas del atacante, pero estas son servidas a través de los servicios de traducción de Google que permiten traducir páginas web completas indicando la dirección URL.

Desde el punto de vista del receptor, este verá un enlace a un servicio aparentemente legítimo de Google (concretamente, al dominio translate.goog) que se encarga de traducir al vuelo el sitio web y servir el contenido, en este caso, malicioso, a través de una conexión aparentemente inocua, pero que podría tener los mismos efectos no deseados que un phishing convencional.

Más info

Deja una respuesta

Tu dirección de correo electrónico no será publicada.