#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 3-7 de febrero

TeamViewer almacena la contraseña de usuario en el registro de Windows

Un investigador de seguridad ha descubierto que TeamViewer estaría almacenando las contraseñas de inicio de sesión de los usuarios, que no las claves de control remoto generadas en cada conexión, cifradas con AES-128-CBC con la clave 0602000000a400005253413100040000 y con iv (vector de inicialización presente en funciones hash criptográficas) 0100010067244F436E6762F25EA8D704 en el registro de Windows. Al reutilizarse una misma contraseña, se facilita un escenario de escalada de privilegios y un atacante podría llegar a usar TeamViewer para conectarse de forma remota a una máquina objetivo. Además, el software permite copiar datos o programar tareas para ejecutarlas a través de su servicio, que se ejecuta como NT AUTHORITY/SYSTEM, por lo que un usuario con un nivel de privilegios bajo podría obtener estos permisos. Ante la alerta generada, desde TeamViewer emitieron un comunicado tratando de quitar importancia al asunto aduciendo que es necesario el acceso previo al equipo para poder ver el registro de Windows, si bien son muchos los usuarios que indican no se habría realizado una correcta valoración del riesgo por parte de la firma. El CCN CERT emitió un aviso al conocerse la noticia desaconsejando el uso de la aplicación, si bien un día más tarde ha emitido una actualización limitando también el impacto.

Información completa aquí: https://whynotsecurity.com/blog/teamviewer/

Técnica de inyección de código para explotar vulnerabilidad en SharePoint

Microsoft lanzó en enero un parche para corregir la vulnerabilidad CVE-2020-0646, cuya explotación permitiría la ejecución remota de código en SharePoint Online. Si bien el problema principal fue corregido en .NET Framework, las versiones locales de SharePoint que no disponen del parche aún serían vulnerables a día de hoy. El investigador de ciberseguridad Soroush Dalili, ha publicado una investigación en la que indica que explotando esta vulnerabilidad se podría abusar de algunos de los parámetros del System.Workflow.Activities con el objetivo de ejecutar código en el servidor de SharePoint al compilar un archivo de formato XOML. La vulnerabilidad fue puesta en conocimiento de Microsoft en noviembre de 2019, que procedió a parchearla inmediatamente en la plataforma online. Sin embargo, como se ha indicado con anterioridad, no fue hasta el pasado mes de enero cuando el problema principal se corregiría.

Más información: https://www.mdsec.co.uk/2020/01/code-injection-in-workflows-leading-to-sharepoint-rce-cve-2020-0646/

Twitter corrige problema en API explotada para obtener información de usuarios

Twitter ha reconocido que el pasado diciembre se descubrió que alguien estaba usando una gran red de cuentas falsas para explotar su API y relacionar nombres de usuario con sus números de teléfono. Aunque las cuentas maliciosas se encontraban en países de todo el mundo, una gran cantidad de solicitudes a la API afectada provenían de direcciones IP de Irán, Israel y Malasia. Según Twitter, el endpoint de la API que fue objeto de este ataque permitía a las personas que creaban nuevas cuentas encontrar a sus amigos en Twitter, permitiendo consultar a aquellos usuarios que tenían el número de teléfono asociado con sus cuentas y que también habían habilitado la opción ‘Permitir que las personas que tienen su número de teléfono lo encuentren en Twitter’ en su configuración. Inmediatamente tras la investigación, Twitter realizó una serie de cambios en el endpoint afectado para que ya no devolviera nombres de cuentas específicas en respuesta a consultas, además de suspender cualquier cuenta que creyesen estaba explotando dicho endpoint.

Toda la información: https://privacy.twitter.com/en/blog/2020/an-incident-impacting-your-account-identity

Vulnerabilidad XSS en WhatsApp

Facebook ha parcheado una vulnerabilidad de criticidad alta en WhatsApp que permitía a los atacantes leer los archivos del sistema local de la víctima. La vulnerabilidad, CVE-2019-18426, fue descubierta por el investigador de PerimeterX Gal Weizman cuando encontró un fallo en la Política de Seguridad de Contenido (CSP) de WhatsApp, que permitía realizar un cross-site scripting (XSS) en la aplicación de escritorio. Esto permitió a Weizman obtener permisos de lectura en el sistema de archivos local tanto en Windows como en MacOS. Para explotar este fallo, es necesario que la víctima acceda a la vista previa de un enlace malicioso. Este fallo aplica a las versiones de escritorio de WhatsApp inferiores a 0.3.9309 combinada con dispositivos iPhone con versión anterior a 2.20.10.

Más: https://www.perimeterx.com/tech-blog/2020/whatsapp-fs-read-vuln-disclosure/

Explotación de vulnerabilidades en controladores de GIGABYTE para desactivar software antivirus

Investigadores de Sophos han descubierto que el ransomware RobinHood estaría explotando una vulnerabilidad (CVE-2018-19320) en controladores de GIGABYTE para conseguir infectar a los usuarios. Durante un análisis de equipos infectados con este ransomware, se ha destapado que el malware estaría cerrando procesos de antivirus y software de seguridad del sistema operativo antes de proceder a cifrar los datos, a pesar de que Windows únicamente permite ejecutar el cierre de dichos procesos de seguridad a aquellos controladores con permisos de Kernel. Además, Windows ha implementado una política de seguridad que impide la instalación de controladores del Kernel excepto si estos son también supervisados y firmados por la compañía, para evitar, concretamente, que un controlador malicioso obtenga permisos de este nivel. Sin embargo, se ha desvelado que RobinHood ha burlado esta política de seguridad explotando controladores vulnerables de GIGABYTE, los cuales sí tienen la firma de Microsoft, y por tanto permisos de nivel Kernel. Además, aprovecha esta ventaja para deshabilitar la política de seguridad que verifica la firma, sin la cual instala un driver de Kernel malicioso que finaliza los procesos de productos endpoint y de antivirus del sistema para poder ejecutar, sin interferencias, su fase del ataque de ransomware.

Más información en: https://news.sophos.com/en-us/2020/02/06/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.