Boletín semanal de ciberseguridad 24-30 de julio

PetitPotam: nuevo ataque de retransmisión NTLM

El investigador de seguridad Gilles Lionel, también conocido como Topotam, ha descubierto un fallo presente en los sistemas Windows que tengan activado Active Directory Certificate Services (ADCS) que permitiría a los atacantes tomar el control de los controladores de dominio a través de un ataque de retransmisión NTLM. Lionel ha publicado una prueba de concepto que permitiría explotar este fallo mediante una petición SMB. Este ataque aprovecha el protocolo Microsoft Encrypting File System Remote Protocol (MS-EFSRPC) para obligar a un dispositivo, incluidos controladores de dominio, a autenticarse y compartir sus hashes de contraseñas con el atacante, lo que le permitiría tomar el control total de la red de la víctima. Según los investigadores, este fallo afecta a la mayoría de las versiones de Windows Server. Si bien este problema todavía no ha sido corregido por Microsoft, ha publicado mitigaciones para reducir el impacto.

Más información: https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

​Análisis de la nueva familia de ransomware AvosLocker

Investigadores de Malwarebytes Lab han publicado el análisis de una nueva familia de ransomware conocida como AvosLocker. A finales de junio, el analista de seguridad Rakesh Krishnan compartía mediante su perfil oficial de Twitter lo que parecía ser una nueva familia de ransomware que habría optado por continuar con la tendencia actual de operar: la búsqueda de afiliados en foros underground, conocido como Ransomware-as-a-Service (RaaS), y la creación de un blog en la Dark Web donde compartir y extorsionar a sus víctimas, catalogado como doble extorsión. AvosLocker es un RaaS escrito en C++ que utiliza dos algoritmos de cifrado diferentes: AES para archivos y RSA para claves AES generadas. Malwarebytes determina que esta familia parece ser operada manualmente una vez consigue el acceso inicial en el dispositivo de la víctima, estimando que crea una muestra por víctima dado que el ID se encuentra codificado en la muestra. Una vez consigue desplegar el ransomware, sus operadores dirigen a la víctima a un dominio de la Dark Web donde pueden ver la cuantía solicitada y el tiempo que tienen para poder abonar el importe, incrementando este en caso de no cumplir con los plazos establecidos. Los investigadores afirman que esta nueva familia de ransomware se encuentra bastante activa, y según mencionaba Rakesh Krishnan, podría estar atentando contra compañías del sector legal, logístico e inmobiliario situadas en Estados Unidos, Reino Unido y Europa.

Más información: https://blog.malwarebytes.com/threat-intelligence/2021/07/avoslocker-enters-the-ransomware-scene-asks-for-partners/

Apple corrige una vulnerabilidad 0-day

Apple ha lanzado una actualización de seguridad para corregir una vulnerabilidad 0-day que estaría siendo explotada y que afecta a dispositivos iOS, iPadOS y macOS. La vulnerabilidad registrada como CVE-2021-30807, supone un fallo de corrupción de memoria en la extensión de kernel IOMobileFramebuffer que permite ejecutar código arbitrario con privilegios de kernel en un dispositivo vulnerable. Apple ha corregido este fallo en las versiones iOS 14.7.1, iPadOS 14.7.1 y macOS Big Sur 11.5.1. Asimismo, desde la compañía confirman que esta vulnerabilidad podría estar siendo activamente explotada, si bien no han compartido mayor detalle al respecto. Tras la publicación de este fallo por parte de Apple, investigadores de seguridad elucubraban con la posibilidad de que se trate de un jailbreak, en lugar de un 0-day. Finalmente, otro investigador ha publicado un detallado análisis de la misma, para la que también ha salido ya una Prueba de Concepto (PoC).

Más información: https://support.apple.com/en-us/HT212623

​Campaña de malspam mediante HTML smuggling

El equipo de Microsoft Security Intelligence ha analizado una campaña de distribución de malware que lleva activa varias semanas y que está aprovechando una técnica conocida como HTML smuggling para evadir las soluciones de seguridad de correo electrónico de sus víctimas. En esta campaña, los atacantes envían correos electrónicos con enlaces maliciosos que, tras acceder a ellos, despliegan componentes incrustados en HTML a través de HTML smuggling. Esta técnica permite crear un archivo malicioso dentro del navegador de la víctima, en este caso concreto sería un archivo ZIP que contendría un JavaScript mediante el cual se descargarían otros ficheros maliciosos, entre los que se encuentra el payload del troyano Casbaneiro. Si bien Microsoft no ha detallado la afectación de esta campaña, la actividad de este troyano tiende a centrarse en países de Latinoamérica.

​Análisis del ransomware Hanon

Investigadores de la firma de seguridad coreana S2W han publicado un análisis de una nueva familia de ransomware denominada Haron, que iniciaba sus operaciones este mes. Haron utiliza tácticas de ransomware más maduros como la exfiltración de información para su posterior publicación en su blog de la Dark Web. Los analistas relacionan esta nueva muestra con la familia de Thanos y Avaddon, ya extinto, afirmando que este nuevo ransomware sería más bien la unión de diferentes aspectos de estas familias en base a la similitud en: los blogs de la Dark Web, la página de pago, la nota de rescate y los iconos e imágenes utilizados, entre otros. S2W no clarifica el porqué de estas semejanzas, hipotetizando que quizá Haron compró algunas partes a los operadores de Avaddon o bien que algún agente de la familia extinta se unió a los operadores de la nueva muestra.

Más información: https://medium.com/s2wlab/quick-analysis-of-haron-ransomware-feat-avaddon-and-thanos-1ebb70f64dc4