Noticias de Ciberseguridad: Boletín semanal 31 de octubre-6 de noviembre

Apple corrige 3 vulnerabilidades 0-day

Apple, con el lanzamiento de la nueva versión de iOS 14.2, ha corregido tres vulnerabilidades 0-day que estarían siendo explotadas activamente y que afectarían a los dispositivos iPhone, iPad y iPod. Estos fallos fueron notificados a Apple por el equipo de analistas de seguridad de Google Project Zero, a quienes también se les atribuye el descubrimiento de las vulnerabilidades 0-day de Chrome y Windows notificadas recientemente.

• CVE-2020-27930 CVSS 6.0: es un fallo de ejecución remota de código (RCE) y se debe a un error de corrupción de memoria cuando la librería FontParser procesa una fuente maliciosa.
• CVE-2020-27932 CVSS 7.5: se trata de una vulnerabilidad 0-day de escalado de privilegios de kernel que permitiría a aplicaciones maliciosas ejecutar código arbitrario con dichos privilegios.
• CVE-2020-27950 CVSS 3.2: permitiría a aplicaciones maliciosas acceder a la memoria del kernel debido a un fallo de inicialización de la misma.

Se recomienda actualizar lo antes posible a la versión iOS 14.2.

Ciberataques al sector industrial a través de sistemas de gestión remota

En 2018, se informó de una campaña de phishing dirigida a entidades del sector industrial, especialmente en manufactura, que pretendía la difusión de malware. Recientemente, desde el verano de 2019 hasta este mismo otoño, han podido localizar una nueva oleada de esta campaña que incluye técnicas de ataque mejoradas. Los agentes amenaza utilizan como pretexto en los correos de phishing documentos que detallan la configuración de equipamiento, procesos industriales, etc. todo ello robado a la propia empresa víctima o a uno de sus colaboradores. El malware distribuido permite a los atacantes valerse de herramientas de administración remota ocultando su utilización al usuario, e incluso usarlas como C2, tal y como ocurre con la interfaz web de la plataforma RMS en la nube. También se ha podido visualizar el uso de spyware y Mimikatz para el robo de credenciales y movimiento lateral a otros sistemas de la red. El objetivo final sigue siendo la obtención de beneficios económicos.

Explotación activa de 0-day de Windows pendiente de corrección

Google ha alertado sobre la explotación activa de diversos fallos de seguridad como parte de una cadena de exploits que incluyen una vulnerabilidad 0-day de Windows, que sigue pendiente de corrección, (CVE-2020-17087) y otra 0-day de Google Chrome (CVE-2020-15999), corregida el 20 de octubre en la versión 86.0.4240.111. El 0-day de Chrome se utilizó para permitir que los atacantes ejecutaran código malicioso dentro del navegador y, en una segunda fase, el 0-day de Microsoft permitía a los agente amenaza propiciar un ataque tipo sandbox escape logrando ejecutar código en el sistema operativo subyacente desde el entorno aislado de Chrome. El equipo de Google Project Zero notificó este fallo a Microsoft ofreciendo 7 días de gracia a la firma para corregir el fallo antes de publicar los detalles de la vulnerabilidad incluyendo una prueba de concepto. Según su informe, se trataría de un bug en el kernel de Windows que podría ser explotado para elevar los permisos del código del atacante y afectaría a todas las versiones desde Windows 7 hasta la más reciente de Windows 10. Se espera que el parche que corregiría la vulnerabilidad CVE-2020-17087 se haga público el 10 de noviembre en boletín de seguridad de Microsoft de noviembre.

Máquinas virtuales de Windows objetivo del nuevo ransomware RegretLocker

El nuevo ransomware llamado RegretLocker, que fue descubierto en octubre por los investigadores de MalwareHunterTeam, presenta peculiaridades como no utilizar una nota de rescate o hacer uso de un correo electrónico para las comunicaciones en vez de una página web en Tor. Al cifrar los archivos, RegretLocker añade la extensión .mouse a los nombres de los archivos cifrados. Aunque en apariencia sea simple, este ransomware tiene características avanzadas que no son habituales en infecciones de su familia de malware, es capaz de cifrar máquinas virtuales Windows y cerrar los archivos abiertos para su cifrado. Cuando un ransomware cifra los ficheros de una ordenador, no suele cifrar archivos de tamaños muy grandes, como máquinas virtuales, ya que reduce la velocidad de todo el proceso de cifrado, no obstante, RegretLocker utiliza la API de Windows Virtual Storage, OpenVirtualDisk, AttachVirtualDisk y GetVirtualDiskPhysicalPath para cifrar máquinas virtuales. Además, utiliza la API de Windows Restart Manager para terminar procesos o servicios de Windows que mantienen un archivo abierto durante el cifrado.

Datos de 34 millones de usuarios robados de 17 compañías a la venta

Según informa el medio especializado en tecnología BleepingComputer, un actor malicioso ha puesto a la venta 34 millones de registros de usuarios, afirmando que provienen de fugas de información de 17 compañías diferentes. El vendedor creó un hilo en un foro hacker el pasado 28 de octubre, detallando el tipo de información expuesta en cada una de las bases de datos. Esta información incluye correos electrónicos, contraseñas en diferentes formatos, nombres de usuario, números de teléfono, fechas de nacimiento, direcciones y otros datos sensibles. Las compañías afectadas pertenecen a un amplio abanico de sectores profesionales y localizaciones geográficas. Ninguna de ellas había reportado fugas de datos recientes, y únicamente dos de ellas lo han hecho después de que los autores del artículo contactaran con ellas: el supermercado online de Singapur RedMart y la página de reseñas de Tailandia Wongai.

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.