Noticias de Ciberseguridad: Boletín semanal 19-25 de septiembre

ElevenPaths    25 septiembre, 2020
Noticias de Ciberseguridad: Boletín semanal 19-25 de septiembre

Nuevo vector de ataque para vulnerabilidad en Citrix Workspace

El investigador de seguridad de Pen Test Partners, Ceri Coburn, ha descubierto un nuevo vector de ataque para la vulnerabilidad CVE-2020-8207 en Citrix Workspace corregida en julio de este año. El problema se encuentra en una vulnerabilidad de inyección remota en la línea de comandos que permitiría a los atacantes evadir los instaladores MSI firmados por Citrix mediante una transformación MSI maliciosa. Estas transformaciones MSI permiten alterar la base de datos del archivo MSI antes de su instalación. Al poder controlar los argumentos de comandos que se pasan a msiexec, se podría insertar la ruta en una transformación maliciosa, pero haciendo uso de un MSI legítimo de Citrix. Desde Citrix se ha publicado una actualización para corregir esta nueva casuística.

Más detalles: https://www.pentestpartners.com/security-blog/the-return-of-raining-system-shells-with-citrix-workspace-app/

Exploits para Zerologon utilizados activamente

Microsoft ha advertido en una serie de Tweets que los atacantes estarían utilizando activamente la vulnerabilidad de Windows Server catalogada como CVE-2020-1472 en ataques y aconseja a todos los administradores de Windows que instalen las actualizaciones de seguridad necesarias. Esta vulnerabilidad fue denominada ‘Zerologon’ por la firma de ciberseguridad Secura y, cuando se explota, permite a los atacantes elevar sus privilegios a un administrador de dominio y tomar el control de un dominio. En estos tweets se incluyen tres ejemplos que, según Microsoft, se utilizaron en los ataques para explotar la vulnerabilidad de elevación de privilegios Netlogon CVE-2020-1472. Los ejemplos son ejecutables .NET con el nombre de archivo ‘SharpZeroLogon.exe’ y se pueden encontrar en VirusTotal. Se recomienda encarecidamente a todos los administradores de Windows Server que instalen la actualización de seguridad para la CVE-2020-1472 siguiendo las instrucciones del boletín de soporte de Microsoft.

Más info: https://www.bleepingcomputer.com/news/microsoft/microsoft-hackers-using-zerologon-exploits-in-attacks-patch-now/

Fallo en Firefox permite secuestrar navegadores vía WiFi

Mozilla ha corregido un fallo en el navegador Firefox para dispositivos Android que permitiría secuestrar todos los navegadores vulnerables que se encuentren en la misma red WiFi y obligar a los usuarios a acceder a sitios web maliciosos. La vulnerabilidad reside en la implementación del protocolo Simple Service Discovery Protocol (SSDP) de Firefox, el cual permite encontrar otros dispositivos en la misma red con el fin de compartir o recibir contenido. En versiones vulnerables de Firefox, se podría aprovechar este protocolo para enviar comandos maliciosos al navegador de la víctima. El fallo fue corregido en Firefox 79, por lo que se recomienda actualizar el navegador lo antes posible.

Toda la información: https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/tree/master/firefox-android-2020

Aumento de actividad del malware LokiBot

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos ha alertado tanto a instituciones gubernamentales como al sector privado sobre un incremento en la actividad del software malicioso LokiBot. Dicho aumento de detecciones relacionadas con este malware comenzó a darse a partir del pasado mes de julio, en campañas en las que se utiliza LokiBot por sus funcionalidades como: exfiltrar credenciales, obtención de datos, keylogger, captura de pantalla. Asimismo, dispone de la capacidad de funcionar como puerta trasera, lo que permite a agentes amenaza ejecutar otro tipo de software malicioso. El vector de entrada suele ser el compromiso mediante el envío de correos electrónicos, ejecutables maliciosos o a través de archivos torrent. Desde CISA advierten a usuarios y/o administradores de sistemas que tomen las correspondientes medidas paliativas propuestas por el organismo con el fin de minimizar los riesgos ante una posible infección.

Más: https://us-cert.cisa.gov/ncas/alerts/aa20-266a

Alien, malware heredero de Cerberus

Investigadores de Threat Fabric han identificado un nuevo malware cercano a Cerberus como responsable de las últimas campañas llevadas a cabo este año y que se habían atribuido a este malware. Alien, que es como se ha denominado a este troyano bancario que ataca dispositivos Android, tiene una capacidad avanzada para eludir las medidas de seguridad de doble factor de autenticación para robar credenciales. De acuerdo con la investigación llevada a cabo, Alien sería capaz de robar contraseñas de 226 aplicaciones móviles entre las que se encuentran las de bancos españoles como BBVA, Bankia, UnicajaMovil o Kutxabank, entre otros, así como de otras aplicaciones como Telegram, Netflix, Intagram o Twitter. De acuerdo a la investigación llevada a cabo, el principal país objetivo estaría siendo España, seguido de Turquía, Alemania, EE.UU., Italia y Francia. Asimismo, se espera que en lo que queda de año continúen apareciendo variantes de malware basadas en Cerberus, tal y como ha ocurrido con Alien.

Más: https://www.threatfabric.com/blogs/alien_the_story_of_cerberus_demise.html


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *