Boletín semanal de Ciberseguridad, 7 – 13 de enero

Telefónica Tech    13 enero, 2023

Microsoft corrige 98 vulnerabilidades en su Patch Tuesday

Microsoft ha publicado su boletín de seguridad correspondiente con el mes de enero, donde corrige un total de 98 vulnerabilidades.

Entre estas destaca por un lado una vulnerabilidad 0-day activamente explotada, la cual ha sido identificada como CVE-2023-21674 con un CVSSv3 de 8.8, siendo una vulnerabilidad de elevación de privilegios de Advanced Local Procedure Call (ALPC) de Windows, que podría llevar a un posible atacante a obtener privilegios de SYSTEM.

Por otro lado, también es reseñable la vulnerabilidad CVE-2023-21549 (CVSSv3 8.8) de elevación de privilegios del servicio SMB Witness de Windows, debido a que habría sido ya divulgada públicamente, su explotación por parte de un posible atacante podría dar lugar a que ejecutara funciones RPC que están restringidas solo a cuentas con privilegios.

Asimismo, cabe destacar también que dentro de las 98 vulnerabilidades corregidas, once de ellas han sido catalogadas por Microsoft como críticas, en concreto las identificadas como: CVE-2023-21743CVE-2023-21743CVE-2023-21561CVE-2023-21730CVE-2023-21556CVE-2023-21555CVE-2023-21543CVE-2023-21546CVE-2023-21679CVE-2023-21548, y CVE-2023-21535.

Leer más

* * *

​​​Vulnerabilidad crítica en routers Cisco sin soporte

Cisco ha emitido un aviso de seguridad en donde alerta sobre una vulnerabilidad crítica que afecta a múltiples routers de la compañía que se encuentran al final de su vida útil y de la cual existe una PoC pública, aunque no se conoce por el momento intentos de explotación.

En concreto, esta falla de seguridad registrada como CVE-2023-20025, con un CVSSv3 de 9.0 según fabricante, puede desencadenar en una omisión de autenticación causada por una validación incorrecta de la entrada del usuario dentro de los paquetes HTTP entrantes.

Actores maliciosos no autenticados podrían explotarla remotamente enviando una solicitud HTTP especialmente diseñada a la interfaz de administración de los dispositivos vulnerables. Asimismo, este fallo de seguridad podría encadenarse junto con otra nueva vulnerabilidad, CVE-2023-20026, que posibilitaría la ejecución de código arbitrario. En último lugar, cabe indicar que los dispositivos afectados serían los modelos de router Cisco Small Business RV016, RV042, RV042G y RV082.

Desde Cisco señalan que no publicarán parche, pero como medida paliativa se recomienda deshabilitar la interfaz de administración y bloquear el acceso a los puertos 443 y 60443 para bloquear los intentos de explotación.

Leer más

* * *

​​IcedID tarda menos de 24 horas en comprometer el Directorio Activo

Investigadores de Cybereason han publicado un análisis del troyano bancario IcedID, también conocido como BokBot, en el que destacan la rapidez con la que puede comprometer el sistema de una víctima.

En el informe Cybereason advierte de que IcedID tarda menos de una hora desde la infección inicial hasta que comienza los movimientos laterales en el sistema y que necesita menos de 24 horas para comprometer el Directorio Activo para, finalmente, comenzar la exfiltración de datos en apenas 48 horas.

En el informe también se pone de relieve que IcedID ha cambiado su vector de acceso inicial ya que al principio se distribuía a través de archivos de Office con macros maliciosas, pero tras las medidas de protección contra macros implementadas por Microsoft ha pasado a ser distribuido a través de archivos ISO y LNK.

Por último, es reseñable destacar que IcedID comparte tácticas, técnicas y procedimientos (TTPs) con grupos como Conti y Lockbit.

Leer más

* * *

​​​​Vulnerabilidad explotada activamente en Control Web Panel (CWP)

Shadowserver Foundation y GreyNoise han detectado la explotación activa de la vulnerabilidad crítica en Control Web Panel (CWP) catalogada como CVE-2022-44877 con un CVSSv3 de 9.8.

La vulnerabilidad, que fue descubierta por el investigador Numan Türle, fue parcheada en el mes de octubre, si bien, no ha sido hasta la semana pasada cuando se han publicado más detalles de esta junto con una Prueba de Concepto (PoC).

Según los expertos, a partir del día 6 de enero es cuando se han detectado los primeros intentos de explotación de esta vulnerabilidad, la cual permitiría a un actor amenaza no autenticado realizar una ejecución remota de código en servidores vulnerables o una escalada de privilegios.

En concreto, este fallo de seguridad afecta a versiones de CWP7 anteriores a la 0.9.8.1147. Cabe destacar que desde GreyNoise han observado cuatro direcciones IP únicas intentado explotar esta vulnerabilidad.

​​​​​​Leer más

* * *

​​​Última versión de SpyNote dirigida contra clientes bancarios

Investigadores de ThreatFabric han informado de la actividad reciente de la familia de malware SpyNote, también conocida como SpyMax. La última variante conocida ha sido catalogada como SpyNote.C, la cual fue vendida por su desarrollador mediante Telegram, bajo el nombre de CypherRat, entre agosto de 2021 y octubre de 2022, acumulando, de acuerdo con los investigadores un total de 80 clientes.

Si bien, en octubre de 2022, el código fuente fue compartido en GitHub, hecho que generó un aumento muy significativo del número de muestras detectadas de este malware. Entre estas últimas muestras se ha observado cómo SpyNote.C se ha dirigido contra aplicaciones bancarias, haciéndose pasar por apps de bancos como HSBC, Deutsche Bank, Kotak Bank, o BurlaNubank, además de por otras aplicaciones conocidas como Facebook, Google Play, o WhatsApp.

Es reseñable el hecho de que SpyNote.C combina capacidades de spyware y de troyano bancario, siendo capaz de utilizar la API de la cámara de los dispositivos para grabar y enviar vídeos a su C2, obtener información de GPS y ubicación de red, robar credenciales de redes sociales, o exfiltrar credenciales bancarias, entre otras capacidades.

Leer más