Boletín semanal de Ciberseguridad, 5 – 11 de noviembre

Telefónica Tech    14 noviembre, 2022
Foto: Anthony Riera / Unsplash

Reactivación de la plataforma de phishing Robin Banks

Investigadores de IronNet han publicado la segunda parte de su investigación sobre la plataforma de Phishing-as-a-Service Robin Banks.

Esta plataforma fue descubierta en junio de este año tras la detección de una campaña masiva de phishing contra instituciones financieras de EE.UU., tras lo cual fue bloqueada por Cloudflare y sus operaciones quedaron interrumpidas.

Ahora la plataforma habría vuelto a la actividad a través del ISP ruso DDoS-Guard, incorporando nuevas funciones como múltiple factor de autenticación y redirectoras Adspect, que ayudarían a evitar su detección redirigiendo el tráfico sospechoso a páginas web de aspecto legítimo.

Adicionalmente Robin Banks también hace uso de Evilginx2, un proxy que captura cookies de sesión de las víctimas y ayuda a los atacantes a evadir medidas de protección como el doble factor de autenticación.

Más info

* * *

Incidente de ciberseguridad en un proveedor de Orange

Orange ha revelado que uno de sus proveedores habría sufrido un incidente de ciberseguridad que habría derivado en el compromiso de información personal de clientes de la compañía de telecomunicaciones.

De acuerdo con el comunicado emitido por la compañía, el incidente en el proveedor se produjo hace varios días y durante el mismo se habría producido un acceso no autorizado a los sistemas.

Fruto de este, los datos de un número limitado de clientes, a quienes Orange ya ha avisado vía SMS o correo electrónico, se habrían visto comprometidos. Algunos de los datos expuestos serían el nombre, dirección postal, correo electrónico, teléfono, DNI, fecha de nacimiento, o código IBAN bancario de los clientes, si bien no se habrían expuesto la totalidad de estos datos en los casos afectados.

Cabe señalar que entre estos datos no se habrían visto comprometidas contraseñas ni datos de tarjetas de crédito. Desde la compañía procedieron al corte del acceso a los sistemas al ser conocedores del ataque, además de notificarlo a la Agencia Española Protección de Datos y a la Brigada central de Investigación Tecnológica (BCIT) de la Policía Nacional.

Más info (PDF) →

* * *

Microsoft corrige 68 vulnerabilidades incluyendo seis 0-day

En su última actualización de seguridad, Microsoft ha corregido un total de 68 vulnerabilidades, siendo 6 de ellas fallos 0-day activamente explotados:

  • CVE-2022-41128, una vulnerabilidad de ejecución remota de código con una puntación CVSS de 8.8.
  • CVE-2022-41091, que permitiría a un atacante evadir las defensas de seguridad de Mark-of-the-Web (MOTW) con una puntuación CVSS de 5.4.
  • CVE-2022-41073 y CVE-2022-41125, que permitirían a un actor malicioso obtener privilegios de sistema y con una puntuación CVSS de 7.8.
  • CVE-2022-41040 y CVE-2022-41082, vulnerabilidades de escalada de privilegios y ejecución remota de código en Microsoft Exchange con una puntuación CVSS de 8.8.

Estas dos últimas serían las vulnerabilidades identificadas el pasado mes de septiembre como ProxyNotShell. Otras vulnerabilidades categorizadas por Microsoft como críticas y corregidas en esta última actualización son CVE-2022-37966 y CVE-2022-37967 en Windows Kerberos, CVE-2022-41080 en Microsoft Exchange Server y CVE-2022-38015 en Windows Hyper-V.

Más info

* * *

Vulnerabilidades críticas en Citrix Gateway y Citrix ADC

Como parte de su boletín de seguridad publicado el pasado martes, Citrix ha anunciado tres vulnerabilidades que los usuarios han de parchear de forma urgente y que afectan a su software Citrix Gateway y Citrix ADC.

De entre ellas destaca especialmente la CVE-2022-27510 (CVSS 9.8) al ser considerada un fallo crítico que permite eludir el proceso de autenticación usando canales o rutas alternativas cuando la aplicación esté configurada como VPN. Por su parte, las otras dos vulnerabilidades también son consideradas críticas por el NIST, aunque Citrix ha rebajado sus criticidades a alta y media respectivamente.

Se trata de los fallos CVE-2022-27513 (CVSS 9.6 según el NIST, 8.3 según fabricante), que permite a los atacantes hacerse con el control del escritorio en remoto vía phishing al no verificar correctamente la autenticidad de los datos cuando el proxy RDP está configurado en el modo VPN; y CVE-2022-27516 (CVSS 9.8 según el NIST, 5.6 según fabricante), vulnerabilidad que permite eludir el mecanismo de protección contra intentos de inicio de sesión mediante fuerza bruta.

Esta última es explotable en modo VPN o si está configurado como servidor virtual AAA con un número máximo de intentos de inicio de sesión. La empresa ya ha parcheado estos fallos para los clientes de sus servicios Cloud, pero aquellos usuarios que gestionen directamente estos softwares deberán parchear individualmente.

Más info

* * *

StrelaStealer: nuevo malware para robar credenciales de correo

Investigadores de DCSO CyTec han identificado un nuevo malware, al que han denominado StrelaStealer, que roba credenciales de correo electrónico de Outlook y Thunderbird. La distribución del malware se haría a través de archivos ISO adjuntos a correos electrónicos de diferentes contenidos.

En una de las variantes observadas, este adjunto se trataba de un archivo «políglota», es decir, que puede interpretarse como diferentes formatos dependiendo de la aplicación con que se abra.

En el caso analizado, este archivo podía actuar descargando StrelaStealer, o bien mostrar un documento señuelo en el navegador por defecto. La campaña se habría observado por primera vez en noviembre de 2022 dirigida a usuarios hispanohablantes.

Más info

Deja una respuesta

Tu dirección de correo electrónico no será publicada.