Noticias de Ciberseguridad: Boletín semanal 5-11 de diciembre

Boletín de seguridad de Microsoft

Microsoft publicó el pasado 8 de diciembre su boletín mensual de actualizaciones de seguridad, que en esta ocasión incluye parches para 58 vulnerabilidades y un advisory para distintos productos de Microsoft. Nueve de las vulnerabilidades corregidas son críticas, 48 tienen una severidad importante y dos riesgo moderado. Entre el total de parches publicados, destacan 22 actualizaciones que hacen referencia a fallos de ejecución remota de código (RCE), y que afectan a productos como Exchange Server o SharePoint, entre otros. Entre los RCE es destacable el que afecta a Hyper-V (CVE-2020-17095), puesto que es explotable a través de un paquete SMB malicioso y podría comprometer la seguridad de las máquinas virtuales creadas con la aplicación.

Más información: https://msrc.microsoft.com/update-guide/releaseNote/2020-Dec

Explotación de vulnerabilidades en entornos virtualizados por parte de agentes amenaza rusos

La Agencia de Seguridad Nacional (NSA) ha publicado un aviso de ciberseguridad en el que detalla como actores amenaza rusos podrían haber explotado una vulnerabilidad de inyección de comandos en productos de VMware (CVE-2020-4006), logrando así acceder a datos protegidos y afectar a los sistemas. La explotación de esta vulnerabilidad requiere que el atacante tenga acceso a la interfaz de gestión del dispositivo, lo que le permitiría falsificar las credenciales mediante el envío de solicitudes aparentemente auténticas con SAML (Security Assetion Markup Language) y ganar así acceso a los datos protegidos. Entre los productos vulnerables se encuentran VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector. La NSA recomienda a los administradores de sistemas NSS, DoD y DIB la aplicación del parche emitido por el proveedor lo antes posible. En caso de que no sea posible un parche inmediato, los administradores del sistema deben aplicar las siguientes mitigaciones: la detección de indicadores en los logs de actividad, la desactivación del servicio de configuración, la correcta configuración de las medidas de autenticación en servidores y servicios, además de la configuración de contraseñas únicas y fuertes.

Más detalles: https://media.defense.gov/2020/Dec/07/2002547071/-1/-1/0/CSA_VMWARE%20ACCESS_U_OO_195976_20.PDF

Compañías farmacéuticas reconocen accesos no autorizados

La EMA, órgano regulatorio europeo encargado de la aprobación de las vacunas contra la COVID-19, ha anunciado haber sido víctima de un ciberataque y haber comenzado una investigación para esclarecer la vulneración de sus sistemas. En este mismo sentido, las empresas BioNTech y Pfizer han confirmado la detección de un acceso no autorizado a documentación confidencial relacionada con la vacuna que han desarrollado. También la compañía farmacéutica Sinopharm International Corporation, compañía farmacéutica cuya vacuna para la COVID-19 estaría en estos momentos en fase tres de los análisis clínicos, habría sido suplantada para la distribución de una nueva versión del malware Zebrocy, escrito en Go. Este malware se ha vinculado fundamentalmente contra instituciones gubernamentales y organizaciones comerciales dedicadas a asuntos exteriores. En los últimos meses, venimos viendo cómo las empresas farmacéuticas que desarrollan vacunas contra la COVID-19 están siendo objeto de compromisos por parte de agentes amenazas con respaldo estatal (Fancy Bear APT28, Lazarus Group o Cerium, entre otros). La mayoría de estos ataques se inician con campañas de phishing con archivos maliciosos adjuntos, orientadas a la recopilación de credenciales para posteriormente comprometer los sistemas de estas compañías.

Toda la información: https://www.ema.europa.eu/en/news/cyberattack-european-medicines-agency

Total System Services (TSYS) víctima del ransomware Conti

El pasado 8 de diciembre los operadores del ransomware Conti hacían público en su blog de la Dark Web el compromiso de la compañía del sector financiero Total System Services (TSYS), publicando un 15% de la información sustraída. La compañía ha confirmado que contuvo el ataque en cuanto fueron conscientes del mismo, determinando que no se habrían generado interrupciones en el servicio de pagos y que los datos de las tarjetas no habrían sido extraídos. Fabian Wosar, CEO de la compañía de seguridad informática Emsisoft, asegura que los operadores de Conti solo publican la información en su blog cuando, habiendo instado a la víctima a la realización del pago, esta se niega. Se estima que el grupo de cibercriminales que está detrás de los compromisos de Conti, podrían ser los mismos que operan Ryuk, habiendo sido vinculados al grupo denominado WIZARD SPIDER, de origen ruso, por la compañía de ciberseguridad CrowdStrike.

Más información: https://krebsonsecurity.com/2020/12/payment-processing-giant-tsys-ransomware-incident-immaterial-to-company/