Noticias de Ciberseguridad: Boletín semanal 18-24 de abril

PoC para ejecución remota de código explotando SMBGhost

Investigadores de Ricerca Security han conseguido desarrollar una prueba de concepto para explotar código de forma remota aprovechándose de la vulnerabilidad en Windows 10 conocida como SMBGhost. Se trata de una vulnerabilidad crítica en Microsoft Server Message Block 3.1.1. (SMBv3), identificada como CVE-2020-0796 y que cuenta con una valoración de 10 puntos en la escala CVSS v3.1. El fallo fue dado a conocer inicialmente a través de publicaciones de Cisco Talos y Fortinet, tardando Microsoft varios días en publicar la actualización que corregía el problema. Tan sólo unos días después de conocerse se detectaban picos de escaneos de dispositivos vulnerables, y si bien inicialmente las pruebas de concepto permitían, entre otras cosas, realizar ataques DoS bloqueando el sistema objetivo, ya en los últimos días del mes de marzo se hacía públicas pruebas de concepto que permitían realizar la elevación local de privilegios. Ahora, los investigadores han conseguido explotar de forma exitosa el fallo para ejecutar código de forma remota en el sistema vulnerable, de forma que la necesidad de parchear se ha vuelto más acuciante que nunca; si bien por el momento, los investigadores han decidido no hacer público el exploit.

Más información: https://ricercasecurity.blogspot.com/2020/04/ill-ask-your-body-smbghost-pre-auth-rce.html

Detectadas nuevas vulnerabilidades 0-Day en iOS

ZecOps ha reportado dos nuevas vulnerabilidades que se estarían utilizando para explotar la aplicación ‘Mail’ nativa de iOS que, dependiendo de la versión, no requeriría interacción del usuario. Actualmente, todas las versiones de iOS desde iOS 6 hasta la fecha, incluida la 13.4.1, están afectadas, si bien se espera que la versión 13.4.5 de iOS corrija el problema. El fallo principal se trata de un caso de desbordamiento de pila, mientras que la segunda vulnerabilidad sería de escritura fuera de límites (out-of-band write). La explotación de estas vulnerabilidades estaría destinada a lograr una ejecución remota de código, y se sospecha que aún podría haber una tercera vulnerabilidad que permitiera a los agentes amenaza hacerse con el control del dispositivo. Según la información conocida hasta el momento, la explotación parece producirse mediante un correo electrónico que sea capaz de consumir una cantidad elevada de RAM, como para conseguir una cantidad considerable de recursos. Estas vulnerabilidades se estaría empleando como parte de ataques dirigidos contra altos ejecutivos de empresas, habiéndose detectado ya ataques contra objetivos seleccionados en EE.UU. Japón, Alemania, Arabia Saudí e Israel y otras zonas de Europa. Se sospecha que estos ataques podrían ser obra de un agente amenaza vinculado a un estado.

Más detalles: https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/

Cognizant víctima del ransomware Maze

El viernes pasado, la multinacional de IT Cognizant sufrió un ciberataque por el ransomware Maze que provocó interrupciones en el servicio para algunos de sus clientes. Horas después, ya a fecha de sábado, la compañía envió correos de aviso a sus clientes, notificando la infección con Maze e incluyendo una lista provisional de Indicadores de Compromiso podía ser utilizada por los clientes para monitorizar sus sistemas. Este incidente podría tener consecuencias muchos más graves en los próximos días, ya que los operadores de Maze son conocidos por robar los archivos de sus víctimas antes de cifrarlos y, en caso de no recibir el pago por el secuestro, se publica la información en páginas web y foros creados para ello. El ataque a Cognizant se ha producido en el mismo fin de semana en el que se ha conocido un incidente de las mismas características contra la empresa de contabilidad MNP.

Más: https://news.cognizant.com/2020-04-18-cognizant-security-update

Explotación de vulnerabilidades para desplegar webshells

La Agencia de Seguridad Nacional de los Estados Unidos (NSA) y la Dirección de Señales de Australia (ASD) han publicado un informe conjunto en el que se advierte de un aumento en la explotación de vulnerabilidades en servidores web por parte de agentes amenaza para desplegar webshells. Según la NSA, los atacantes estarían utilizando cada vez más las webshells en sus campañas para obtener acceso y persistencia en la red de las víctimas, así como ejecutar código arbitrario de forma remota, subir payloads y pivotar a otros dispositivos dentro de la red objetivo. La NSA y la ASD han enumerado múltiples vulnerabilidades que estarían siendo explotadas para obtener este fin, incluyendo Microsoft SharePoint (CVE-2019-0604), Citrix (CVE-2019-19781) o Microsoft Exchange Server (CVE-2020-0688). La NSA ha publicado un repositorio en GitHub con herramientas para detectar y bloquear estas amenazas.

Todos los detalles: https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2159419/detect-prevent-cyber-attackers-from-exploiting-web-servers-via-web-shell-malware/

Google corrige un misterioso fallo crítico en Chrome

Se ha publicado una actualización de Google Chrome que corrige un fallo crítico en el navegador para los sistemas operativos Windows, Mac y Linux. Se trata de una vulnerabilidad, identificada como CVE-2020-6457, de naturaleza desconocida, dado que Google ha optado por restringir toda información relacionada a este error hasta que la mayoría de usuarios hayan parcheado sus navegadores. En el comunicado público, la empresa apunta que se harán públicos estos detalles en unos días o semanas. Se recomienda actualizar Chrome a la versión 81.0.4044.113.

Más: https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_15.html

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.