Noticias de Ciberseguridad: Boletín semanal 18-24 de abrilElevenPaths 24 abril, 2020 PoC para ejecución remota de código explotando SMBGhost Investigadores de Ricerca Security han conseguido desarrollar una prueba de concepto para explotar código de forma remota aprovechándose de la vulnerabilidad en Windows 10 conocida como SMBGhost. Se trata de una vulnerabilidad crítica en Microsoft Server Message Block 3.1.1. (SMBv3), identificada como CVE-2020-0796 y que cuenta con una valoración de 10 puntos en la escala CVSS v3.1. El fallo fue dado a conocer inicialmente a través de publicaciones de Cisco Talos y Fortinet, tardando Microsoft varios días en publicar la actualización que corregía el problema. Tan sólo unos días después de conocerse se detectaban picos de escaneos de dispositivos vulnerables, y si bien inicialmente las pruebas de concepto permitían, entre otras cosas, realizar ataques DoS bloqueando el sistema objetivo, ya en los últimos días del mes de marzo se hacía públicas pruebas de concepto que permitían realizar la elevación local de privilegios. Ahora, los investigadores han conseguido explotar de forma exitosa el fallo para ejecutar código de forma remota en el sistema vulnerable, de forma que la necesidad de parchear se ha vuelto más acuciante que nunca; si bien por el momento, los investigadores han decidido no hacer público el exploit. Más información: https://ricercasecurity.blogspot.com/2020/04/ill-ask-your-body-smbghost-pre-auth-rce.html Detectadas nuevas vulnerabilidades 0-Day en iOS ZecOps ha reportado dos nuevas vulnerabilidades que se estarían utilizando para explotar la aplicación ‘Mail’ nativa de iOS que, dependiendo de la versión, no requeriría interacción del usuario. Actualmente, todas las versiones de iOS desde iOS 6 hasta la fecha, incluida la 13.4.1, están afectadas, si bien se espera que la versión 13.4.5 de iOS corrija el problema. El fallo principal se trata de un caso de desbordamiento de pila, mientras que la segunda vulnerabilidad sería de escritura fuera de límites (out-of-band write). La explotación de estas vulnerabilidades estaría destinada a lograr una ejecución remota de código, y se sospecha que aún podría haber una tercera vulnerabilidad que permitiera a los agentes amenaza hacerse con el control del dispositivo. Según la información conocida hasta el momento, la explotación parece producirse mediante un correo electrónico que sea capaz de consumir una cantidad elevada de RAM, como para conseguir una cantidad considerable de recursos. Estas vulnerabilidades se estaría empleando como parte de ataques dirigidos contra altos ejecutivos de empresas, habiéndose detectado ya ataques contra objetivos seleccionados en EE.UU. Japón, Alemania, Arabia Saudí e Israel y otras zonas de Europa. Se sospecha que estos ataques podrían ser obra de un agente amenaza vinculado a un estado. Más detalles: https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/ Cognizant víctima del ransomware Maze El viernes pasado, la multinacional de IT Cognizant sufrió un ciberataque por el ransomware Maze que provocó interrupciones en el servicio para algunos de sus clientes. Horas después, ya a fecha de sábado, la compañía envió correos de aviso a sus clientes, notificando la infección con Maze e incluyendo una lista provisional de Indicadores de Compromiso podía ser utilizada por los clientes para monitorizar sus sistemas. Este incidente podría tener consecuencias muchos más graves en los próximos días, ya que los operadores de Maze son conocidos por robar los archivos de sus víctimas antes de cifrarlos y, en caso de no recibir el pago por el secuestro, se publica la información en páginas web y foros creados para ello. El ataque a Cognizant se ha producido en el mismo fin de semana en el que se ha conocido un incidente de las mismas características contra la empresa de contabilidad MNP. Más: https://news.cognizant.com/2020-04-18-cognizant-security-update Explotación de vulnerabilidades para desplegar webshells La Agencia de Seguridad Nacional de los Estados Unidos (NSA) y la Dirección de Señales de Australia (ASD) han publicado un informe conjunto en el que se advierte de un aumento en la explotación de vulnerabilidades en servidores web por parte de agentes amenaza para desplegar webshells. Según la NSA, los atacantes estarían utilizando cada vez más las webshells en sus campañas para obtener acceso y persistencia en la red de las víctimas, así como ejecutar código arbitrario de forma remota, subir payloads y pivotar a otros dispositivos dentro de la red objetivo. La NSA y la ASD han enumerado múltiples vulnerabilidades que estarían siendo explotadas para obtener este fin, incluyendo Microsoft SharePoint (CVE-2019-0604), Citrix (CVE-2019-19781) o Microsoft Exchange Server (CVE-2020-0688). La NSA ha publicado un repositorio en GitHub con herramientas para detectar y bloquear estas amenazas. Todos los detalles: https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2159419/detect-prevent-cyber-attackers-from-exploiting-web-servers-via-web-shell-malware/ Google corrige un misterioso fallo crítico en Chrome Se ha publicado una actualización de Google Chrome que corrige un fallo crítico en el navegador para los sistemas operativos Windows, Mac y Linux. Se trata de una vulnerabilidad, identificada como CVE-2020-6457, de naturaleza desconocida, dado que Google ha optado por restringir toda información relacionada a este error hasta que la mayoría de usuarios hayan parcheado sus navegadores. En el comunicado público, la empresa apunta que se harán públicos estos detalles en unos días o semanas. Se recomienda actualizar Chrome a la versión 81.0.4044.113. Más: https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_15.html Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com. Plan de continuidad: del papel a la acción#CyberSecurityPulse: actualidad técnica con RSS, página web y… sin títulos
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...
Telefónica Tech Webinar: Sports Tech, la revolución digital del fútbol El pasado 15 de junio desde Telefónica Tech organizamos un webinar dedicado a la tecnología en el deporte: “Sports Tech, la revolución digital del fútbol”, disponible ya en nuestro...
Telefónica Tech Boletín semanal de ciberseguridad, 13 — 17 de junio Hertzbleed. Nuevo ataque de canal lateral contra procesadores AMD e Intel Investigadores de seguridad de varias universidades de Estados Unidos han descubierto un nuevo ataque de canal lateral que afecta...
Telefónica Tech ¡Estamos de estreno! Conoce la nueva web de Telefónica Tech Cyber Security & Cloud En Telefónica Tech no dejamos de crecer y de trabajar para ser el partner tecnológico de las empresas en su proceso de transformación digital. Como parte de este propósito Telefónica Tech...