Noticias de Ciberseguridad: Boletín semanal 30 de mayo-5 de junio

ElevenPaths    5 junio, 2020
Noticias de Ciberseguridad: Boletín semanal 30 de mayo-5 de junio

Brecha de seguridad en 8Belts

Investigadores de vpnMentor descubrieron a mediados de abril una brecha de datos en la plataforma de aprendizaje de idiomas 8Belts debido a una configuración incorrecta en un bucket S3 de Amazon Web Services. Esta brecha ha dejado expuestos los datos de más de 150.000 usuarios particulares y corporativos de todo el mundo. Entre estos datos, siendo los más antiguos del 2017, hay información privada como nombres, direcciones de email, números de teléfono, fechas de nacimiento, DNIs, país de residencia y nombres de usuario de Skype. Además, los registros también contenían información técnica de 8Belts que podría ser aprovechada por agentes amenaza para conseguir aún más acceso a la plataforma. En su web, 8Belts afirma tener como clientes a varias grandes multinacionales de sectores como la automoción, la banca, el retail o el deporte, algunas de ellas con sede en España.

Más: https://es.vpnmentor.com/blog/report-8belts-leak/

Revocación de certificado raíz de Sectigo/Cómodo

El pasado día 30 se revocó la validez del certificado raíz “AddTrust External CA Root” emitido por parte de Comodo CA (ahora Sectigo) y que llevaba en funcionamiento desde el año 2000. La medida afectó principalmente al acceso a servicios, sitios webs y APIs a través de sistemas legado como pueden ser Windows XP e Internet Explorer 6, ya que estos sistemas no reconocen certificados más recientes como“COMODO RSA CA” & “USERTrust RSA CA”. Pese a ello, durante el fin de semana varias entidades como Namecheap o Proximus indicaron estar teniendo problemas derivados del incidente. La confusión vino originada, en parte, porque parece que la empresa no advirtió individualmente a sus usuarios de la revocación, aunque sí emitió un comunicado a través de su web. Los usuarios que intentasen conectarse a las webs afectadas se encontrarían con problemas para establecer conexiones seguras, pudiendo ser imposible la prestación del servicio.

Todos los detalles: https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020

Publicación de exploit RCE para la vulnerabilidad SMBGhost

Se ha publicado una prueba de concepto para aprovechar el fallo crítico (CVE-2020-0796 con CVSS 10.0) en el protocolo SMBv3 de Microsoft. Si bien ya se habían publicado PoCs para realizar ataques de denegación de servicio y de escalada de privilegios aprovechando esta vulnerabilidad, este nuevo exploit permitiría la ejecución remota de código en sistemas vulnerables. Se espera que en los próximos días otros investigadores publiquen una versión depurada de este exploit.

Más información: https://github.com/chompie1337/SMBGhost_RCE_PoC

Detalles sobre vulnerabilidades en SAP Adaptive Server Enterprise

El equipo de investigadores de Trustwave ha publicado los detalles de 6 vulnerabilidades en SAP Adaptive Server Enterprise.

  • El primer fallo crítico (CVE-2020-6248) es un error de ejecución arbitraria de código que permitiría corromper el archivo de configuración de la copia de seguridad del servidor.
  • El segundo (CVE-2020-6252) es un fallo de divulgación de información que afecta al componente Cockpit en instalaciones por defecto de SAP ASE en Windows.
  • La tercera vulnerabilidad (CVE-2020-6241), de criticidad alta, se trata de una inyección SQL en la rutina de manejo de tablas globales temporales, lo que permitiría a usuarios estándar conectarse al servidor y elevar sus privilegios a administrador.
  • La cuarta (CVE-2020-6243), con CVSS de 8.0, permitiría la ejecución de código arbitrario.
  • La quinta (CVE-2020-6253), también de criticidad alta, es una vulnerabilidad de escalada de privilegios a través de inyección SQL en WebServices.
  • La última (CVE-2020-6250), de criticidad media, es un fallo en el que las contraseñas estarían expuestas en texto plano en los registros de instalación.

Estas vulnerabilidades ya fueron corregidas por la compañía a mediados del mes de mayo.

Saber más: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/system-takeover-through-new-sap-ase-vulnerabilities/

Nueva versión del troyano bancario Metamorfo

Investigadores de seguridad de Bitdefender han publicado un análisis sobre una nueva campaña maliciosa llevada a cabo por el troyano bancario Metamorfo. Este software malicioso está dirigido principalmente a usuarios brasileños y su vector de entrada principal es a través de documentos de office que contienen macros maliciosas y son transmitidos mediante correos electrónicos en campañas de phishing. En esta ocasión, se informa que se estaría empleando la técnica de secuestro de DLL, utilizado para ocultar su presencia en el sistema infectado y poder elevar privilegios. Asimismo, la metodología empleada en estas casuísticas es forzar a una aplicación legítima a ejecutar código de terceros mediante el intercambio de una cadena de código por una maliciosa. De esta manera los agentes amenaza sustituyen la DLL legítima con una DLL que contiene el código malicioso, por lo que la aplicación carga y ejecuta dicho código. En esta nueva campaña, se ha utilizado software legítimo como Avira, AVG, Avast, Daemon Tools, Steam y NVIDIA. De esta manera si alguno de estos productos solicita privilegios más elevados, la víctima no sospechará en permitirlo al considerarlos legítimos. Sin embargo, al haber sido modificado sus DLL será utilizado para robar credenciales bancarias de la víctima u otro tipo de datos.

Toda la info: https://www.bitdefender.com/files/News/CaseStudies/study/333/Bitdefender-PR-Whitepaper-Metamorfo-creat4500-en-EN-GenericUse.pdf


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *