Noticias de Ciberseguridad: Boletín semanal 12-18 de septiembre

PoC para vulnerabilidad crítica en Netlogon

Investigadores de Secura han publicado una herramienta que permite comprobar si un controlador de dominio es vulnerable a la vulnerabilidad CVE-2020-1472, en Netlogon. El mes pasado, Microsoft parcheaba esta vulnerabilidad crítica, con CVSS 10, en Netlogon Remote Protocol (MS-NRPC) que permitiría a un atacante, no autenticado, elevar privilegios y pasar a ser el Domain Admin de un controlador de dominio (DC) vulnerable. En ese momento, investigadores de seguridad como Kevin Beaumont apuntaban a la necesidad de parchear. Hace unos días, el 11 de septiembre, se publicó ya un script que trata de evadir la autenticación de Netlogon. Este script finaliza cuando tenga éxito o tras varios intentos fallidos. Se recomienda instalar el parche que mitiga este error lo antes posible.

Información completa: https://www.secura.com/blog/zero-logon

Exploit para vulnerabilidad en Microsoft Exchange

El pasado viernes, un investigador independiente publicaba en fuentes abiertas una prueba de concepto válida para la vulnerabilidad CVE-2020-16875 en servidores de correo Microsoft Exchange que permitiría la ejecución remota de código. Esta vulnerabilidad, cuya explotación permitiría la autopropagación (capacidades de «gusano»), fue subsanada por Microsoft la semana pasada en su boletín mensual de actualizaciones de septiembre. En un primer momento, el fabricante la consideró de riesgo crítico (CVSSv3 de 9.1, que decreció hasta 8.4 al desvelarse la necesidad de autenticación) y con poca probabilidad de ser explotada. No obstante, la aparición de este PoC contradice esta última estimación. Como factor mitigante, para poder llevar a cabo el aprovechamiento, el atacante habría de comprometer un usuario de Exchange con el rol «Data Loss Prevention«. Los productos afectados son Microsoft Exchange Server 2016 y 2019. Se recomienda actualizar lo antes posible.

Más detalles: https://twitter.com/steventseeley/status/1304095793809371137

Campaña del troyano URSA contra múltiples países

Desde el pasado mes de junio, una nueva campaña de infecciones con el troyano URSA, también conocido como Mispadu, está afectando a usuarios en múltiples países, incluidos Bolivia, Chile, México, Argentina, Ecuador, Colombia, Paraguay, Costa Rica, Brasil, España, Italia y Portugal. URSA es un malware relativamente reciente y cuyo objetivo es el robo de credenciales bancarias a través de navegadores, software de uso generalizado como FTP, servicios de email, y también a través de la superposición de falsos portales bancarios en los que la víctima introduciría sus credenciales bancarias. Este troyano se distribuye a través de campañas de phishing o malspam suplantando a diversas entidades. Por ejemplo, en Portugal ha suplantado recientemente a Vodafone, EDP (Energias de Portugal), MEO (Serviços de Comunicações e Multimédia, S.A) y Policía Judiciaria. Durante esta actividad, URSA ha impactado a 3.379 usuarios, según los datos obtenidos de algunos servidores Command & Control identificados en esta oleada de ataques, aunque es posible que el número de infecciones haya sido mucho mayor. El país con mayor afectación ha sido México (1.977 infecciones), seguido de España (631), Portugal (514) y Chile (331).

Toda la información: https://seguranca-informatica.pt/threat-analysis-the-emergent-ursa-trojan-impacts-many-countries-using-a-sophisticated-loader/

Liberado código fuente malware Cerberus

El investigador de seguridad de Kaspersky, Dmitry Galov, ha informado sobre la filtración del código fuente de la versión 2 del malware Cerberus, troyano bancario dirigido contra dispositivos móviles que utilizan el sistema operativo Android. Este software malicioso de acceso remoto (RAT) cuenta entre sus funcionalidades con: interceptación de comunicaciones, manipulación de la funcionalidad del dispositivo, exfiltración de datos y credenciales bancarias y lectura de mensajes de texto que pueden contener códigos de acceso de un solo uso (OTP) y códigos de autenticación de doble factor (2FA) – evitando así esta medida de seguridad. En lo que respecta a la filtración del código, el pasado mes de julio se informaba que el gestor de la herramienta habría revelado que el equipo de desarrollo se estaba desintegrando, por lo que buscaba un nuevo propietario mediante la creación de una subasta del código fuente. A falta de compradores, se ha producido la filtración del mismo. Según indica Kaspersky, tras la liberación del código fuente de Cerberus, se ha producido un aumento en infecciones de aplicaciones móviles en Europa y Rusia, país que anteriormente no había sido afectado por esta amenaza.

Más info: https://www.zdnet.com/article/cerberus-banking-trojan-source-code-released-for-free-to-cyberattackers/

Vulnerabilidades en el core de Drupal

Se han publicado cinco vulnerabilidades cross-site scripting (XSS), de omisión de autenticación y de divulgación de información en el core de Drupal, una de severidad alta y el resto de severidad media. La vulnerabilidad más grave alta es la de tipo XSS reflejado, y podría permitir que un atacante aprovechara la forma en que se representa código HTML para los formularios afectados. Se ha reservado el identificador CVE-2020-13668 para esta vulnerabilidad. Para el resto de errores con menor criticidad se han reservado los identificadores: CVE-2020-13666, CVE-2020-13667, CVE-2020-13669 y CVE-2020-13670. Además, hay que resaltar que las versiones de Drupal 8 anteriores a 8.8.x están al final de su vida útil y ya no reciben cobertura de seguridad. Los portales en versiones 8.7.x o anterior deberán actualizarse a 8.8.10.

Más: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-el-core-drupal-1

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.