#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 2-6 de diciembre

Segunda edición de nuestro boletín semana del noticias sobre ciberseguridad. Los ataques y vulnerabilidades más relevantes, analizadas por nuestros expertos del SCC:

Strandhogg: vulnerabilidad en Android que permite obtener credenciales bancarias

Un fallo en el software Android de Google, al que han denominado StrandHogg, estaría siendo explotado para crear aplicaciones capaces de robar las credenciales de aplicaciones bancarias. El error reside en la función multitarea de Android que podría ser explotado por una aplicación maliciosa para hacerse pasar por una legítima ya instalada y permitiría a los atacantes crear pantallas de inicio de sesión falsas que se podrían insertar en aplicaciones legítimas para recopilar datos de la víctima. Los investigadores habrían descubierto que 60 instituciones financieras distintas estarían siendo atacadas a través de estas aplicaciones maliciosas y habrían conseguido el objetivo final, robar dinero de la víctima. Google ha suspendido las aplicaciones potencialmente dañinas que han sido detectadas. Esta vulnerabilidad todavía no ha sido parcheada.

Wiper ZeroCleare dirigido contra empresas energéticas en Oriente Medio

Investigadores de IBM han identificado y analizado un nuevo malware destructivo desarrollado por actores amenaza iraníes que estaría siendo activamente utilizado contra empresas energéticas situadas en Oriente Medio. El wiper, al que han denominado ZeroCleare, muestra evidentes similitudes con uno de los malware más destructivos de la pasada década, Shamoon, y está diseñado para eliminar la mayor cantidad de datos posible en el sistema infectado. Como vector de entrada se realizan ataques de fuerza bruta contra activos de la red corporativa escasamente securizados. Una vez dentro se explotan vulnerabilidades en SharePoint para instalar una shell como China Chopper o Tunna. Posteriormente, se busca el movimiento lateral a lo largo de la red para conseguir infectar la mayor cantidad de dispositivos posibles. El último paso consiste en desplegar el wiper ZeroCleare. Este malware se vale de scripts maliciosos en PowerShell para evadir los controles de Windows y eleva privilegios mediante la descarga de la herramienta legítima EldOS RawDisk. Se desconoce qué empresas se han visto ya afectadas, pero los ataques parecen altamente dirigidos contra entidades con negocios petroleros en Arabia Saudí o colaboradores de estas entidades.

Posible filtración de datos de clientes de Caja Rural

Según ha dado a conocer el diario digital “El Confidencial”, el Grupo Caja Rural habría sufrido una exposición de datos de sus clientes. Según indica este medio, estarían afectados un total de 637 clientes, principalmente de Castilla y León, habiendo quedado expuesta información personal como es su DNI, nombre y apellidos, hash de contraseña, dirección del domicilio y número de teléfono móvil. Por el momento no se sabría cómo se ha producido dicha filtración, si por una brecha en su sistema, o por un ataque. La entidad afectada ha negado este incidente, aunque se sabe que en octubre el Banco Cooperativo Español, que forma parte de Caja Rural, notificó un incidente a la Agencia Española de Protección de Datos, si bien se desconoce si está relacionado o no.

BlackDirect: vulnerabilidad en Microsoft Azure

Se ha encontrado una vulnerabilidad en Microsoft Azure denominada BlackDirect que permitiría tomar el control de cuentas de Microsoft y Azure. El fallo se encuentra en las aplicaciones propias de Microsoft Azure llamadas “Enterprise Applications”, que usan el protocolo OAuth y contienen una lista de URLs en las que confían. Los atacantes podrían tomar el control de estas URLs, lo que les permitiría utilizar los permisos de la víctima para obtener los “tokens de usuario”. Una vez conseguidos los tokens, podrían hacerse pasar por la víctima y realizar todas las acciones que el usuario puede hacer, por lo que la gravedad depende de los permisos del usuario afectado. Cualquiera que tenga cuentas de Microsoft o Azure sería vulnerable a este tipo de ataque. Las URLs vulnerables descubiertas han sido corregidas, eliminando el riesgo. Sin embargo, podría haber más aplicaciones de Azure vulnerables.

Explotación de vulnerabilidad parcheada de Outlook

Se ha descubierto un nuevo truco utilizado por agentes amenaza que está siendo empleado para llevar a cabo grandes intrusiones revirtiendo la funcionalidad del parche de Microsoft para la vulnerabilidad CVE-2017-11774 en Microsoft Outlook. A pesar de las múltiples advertencias de FireEye y el US Cyber Command, se ha seguido observando un aumento en la explotación exitosa de CVE-2017-11774, un ataque contra Outlook en el lado del cliente que implica la modificación de las páginas de inicio de Outlook de los clientes para la ejecución y persistencia del código. Hay que tener en cuenta que para que el vector de anulación del parche CVE-2017-11774 tenga éxito, un atacante tiene que persuadir a la víctima para que ejecute su programa y modifique su sistema operativo. Sin embargo, se trata de una técnica poco común para la que no hay una guía de mitigación pública disponible y que, según indican los investigadores, permite automatizar por completo el acceso inicial y la anulación de los parches.

Si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram y estate al día en seguridad digital.